Программа: JSPWiki 2.x

Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS
нападение и получить доступ к конфиденциальной информации.

1) Уязвимость возникает из-за ошибки в проверке входных данных в параметрах "group"
и "members" сценарием NewGroup.jsp, в параметре "edittime" в сценарии Edit.jsp,
в параметрах "edittime", "author" и "link" в сценарии Comment.jsp, в параметрах
"loginname", "wikiname", "fullname" и "email" сценариями UserPreferences.jsp и
Login.jsp, в параметрах "r1" и "r2" в сценарии Diff.jsp, и в параметре "redirect"
сценарием Login.jsp. Атакующий может выполнить произвольный сценарий в браузере
жертвы в контексте безопасности уязвимого сайта.

2) Уязвимость возникает из-за ошибки в проверке входных данных в параметре "changenote".
Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте
безопасности уязвимого сайта, при условии, что просматриваемая страница с
информацией предоставлена через PageInfo.jsp.

3) Уязвимость возникает из-за ошибки в обработке параметра версии,
включенного в HTTP запросы для вложений. Атакующий может получить информацию о
полном пути к приложению.

Примеры:


http://lists.grok.org.uk/pipermail/full-disclosure/2007-September/066096.html



Оставить мнение