Security Lab

Межсайтовый скриптинг в RSA Authentication Agent for Web для IIS

Дата публикации:19.04.2005
Дата изменения:17.10.2006
Всего просмотров:1123
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-1118
CVE-2008-1470
CVE-2008-2026
CVE-2008-2027
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: RSA Authentication Agent for Web for IIS 5.x
Уязвимые версии: RSA Authentication Agent for Web для IIS 5.2

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость существует из-за некорректной обработки входных данных в параметре 'postdata' в библиотеке 'IISWebAgentIF.dll' во время HTTP POST запроса. Удаленный пользователь может создать специально сформированный POST запрос и выполнить произвольный HTML сценарий в браузере жертвы.

Пример/Эксплоит: См. источник сообщения.

URL производителя: www.rsasecurity.com

Решение: Установите последнюю версию (5.3) от производителя.

Ссылки: RSA Authentication Agent for Web - IISWebAgentIF.dll - Cross Site Scripting Vulnerability