Microsoft Internet Information Server/Services (IIS) уязвим к межсайтовому скриптингу.
Когда IIS передан ошибочный запрос, 302 ошибка "Object Moved" возвращается клиенту без изменения метасимволов, содержащихся в запросе
(а следовательно запрос выполняется в
броузере). Это происходит, когда запрос содержит следующий URI:
GET /existing directory name?"><script>alert("aaa"); </script>
Уязвимость найдена в IIS 4.0-5.1.
