Программа: Windows 2000
Уязвимость позволяет удаленному
пользователю выполнить произвольный
сценарий на целевой системе. Уязвимость
существует в библиотеке 'webvw.dll' из-за
недостаточной фильтрации имени автора при
отображении документа. Более того, поле e-mail
автоматически преобразовывается в ссылку
‘mailto:’. Удаленный пользователь может
создать специальным образом документ, при
клике на который будет выполнен
произвольный сценарий (при условии, что
режим Web View разрешен).
Пример:
a@b' style='background-image:url(javascript:alert( "Successful
injection!"))'
