Межсайтовый скриптинг в SAP Crystal Reports Server 2008

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "backURL" в сценарии aa-add-analytic2.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "pagePos" в сценарии aa-add-validate.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "entry" в сценарии aa-analytic-frameset.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "MetaDataCachePeriod", "AppBuilderCachePeriod", "SessionCachePeriod" и "RefreshDashboardPeriod" в сценарии aa-cacheparams.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

5. Уязвимость существует из-за недостаточной обработки входных данных в параметре "swf" в сценарии aa-display-flash.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

6. Уязвимость существует из-за недостаточной обработки входных данных в параметре "Sel" в сценарии aa-dmgraph.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

7. Уязвимость существует из-за недостаточной обработки входных данных в параметре "defTar" в сценарии aa-edit-goal.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

8. Уязвимость существует из-за недостаточной обработки входных данных в параметре "analyticToken" в сценарии aa-map-frameset.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

9. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "url", "sWindow", "BEGIN_DATE", "END_DATE", "CURRENT_DATE" и "CURRENT_SLICE" в сценарии aa-open-inlist.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

10. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "DocName" и "Label" в сценарии aa-overviewctxt.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.sap.com/solutions/sap-crystal-solutions/index.epx

Решение: Установите обновление с сайта производителя.