Межсайтовый скриптинг в CA eTrust SiteMinder
- Дата публикации:
- 11.07.2005
- Всего просмотров:
- 1237
- Опасность:
- Низкая
- Наличие исправления:
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
- Нет данных
- Вектор эксплуатации:
- Воздействие:
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.
Уязвимость существует при обработке входных данных в параметрах 'password' и 'buffer' в файле 'smpwservicescgi.exe'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:
http://[target]/siteminderagent/pwcgi/smpwservicescgi.exe?
SMAU THREASON=0&TARGET=&USERNAME=
hacker&PASSWORD="><script>alert(document.cookie)
</script>&BUFFER="><script>alert("Vulnerable")</script>
URL производителя: www3.ca.com/Solutions/Product.asp?ID=5262
Решение: Способов устранения уязвимости не существует в настоящее время.