Уязвимость в проверке правильности ввода обнаружена в Microsoft Internet Security and Acceleration (ISA) Server. Удаленный пользователь может выполнить XSS нападение против пользователей в сети, в которой используется ISA сервер. Нападение может быть выполнено против любого домена.
Сообщается, что удаленный пользователь может создать специально сформированный HTTP запрос, который заставит ISA Server сгенерировать страницу ошибки. Удаленный пользователь может внедрить произвольный HTML код, включая Javascript код, в HTTP заголовок 'Via'.
Когда целевой пользователь выполняет HTTP запрос, страница ошибки ISA сервера отобразит HTML или JavaScript код, представленный пользователем, будет выполнен в браузере целевого пользователя, в контексте безопасности запрашиваемого домена. В результате код может обратиться к куки целевого пользователя. Пример:
ISA Server: davinci.winmat.com
Via: <YOUR_CODE_HERE>
Уязвимость обнаружена в Microsoft ISA Server.
