cFreeProxy
(a.k.a. » acFP») — HTTP/1.x кэширующий прокси сервер для Microsoft Windows. Обнаруженная уязвимость позволяет атакующему выполнять код сценария в произвольном домене. 

Прокси-сервер может генерировать сообщение об ошибке если хост не доступен или по некоторым другим причинам. Страница ошибки, сгенерированная в течение этого процесса не проверяет правильность введенных данных, и уязвима к межсайтовому скриптингу. Это позволяет нападающему вводить код сценария в любой сайт, который жертва может посетить, потому что эта проблема находится в прокси-сервере, а не на определенном сайте. Пример: 

http://www.hotmail.com:41997/ %3CSCRIPT%3Ealert%28document%3EURL%29%3C/SCRIPT%3E/ 

Уязвимость обнаружена в acFP version 1.33-beta7.



Оставить мнение