Межсайтовый скриптинг в Liferay Portal Enterprise

Дата публикации:	24.12.2005
Дата изменения:	17.10.2006
Всего просмотров:	1489
Опасность:	Низкая
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	CVE-2005-4400
Вектор эксплуатации:	Удаленная
Воздействие:	Межсайтовый скриптинг
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Liferay Portal Enterprise 3.x
	Уязвимые версии: Liferay Portal Enterprise 3.6.1 и более ранние версии Описание: Удаленный пользователь может произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "_77_struts_action", "p_p_mode" и "p_p_state" в сценарии "portal_ent" и в нескольких параметрах в модуле поиска. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Пример: /web/guest/downloads/portal_ent?p_p_id=77 & p_p_action=1&p_p_state=maximized&p_p_mod e=view&p_p_col_order=null&p_p_col_pos=2&p _p_col_count=3&_77_struts_action=[XSS] /web/guest/downloads/portal_ent?p_p_id=77 & p_p_action=1&p_p_state=maximized&p_p_mod e=[XSS] /web/guest/downloads/portal_ent?p_p_id=77 & p_p_action=1&p_p_state=[XSS] URL производителя: liferay.com Решение: Способов устранения уязвимости не существует в настоящее время. Источник:
Ссылки:	Liferay Portal Enterprise 3.6.1 XSS

Межсайтовый скриптинг в Liferay Portal Enterprise

Подпишитесь на email рассылку