Программа: Oracle Application Server 10g

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «table» в servlet/Spy в Dynamic Monitoring Services (DMS). Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

 http://somesite/servlet/Spy?format=metrictable&cache=false&interval=
6400000&table=%3Cscript%3Ealert(‘inTellectPRO’)%3C/script%3E&orderby=Name



Оставить мнение