• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
apache2-mod_php5 (ES10SP2 - 0, ES10SP2 - 5.2.5-9.23.3, ES10SP3 - 0, ES10SP3 - 5.2.5-9.25.1, ES11SP0 - 0, ES11SP0 - 5.2.6-50.24.1, OS11r0 - 0, OS11r0 - 5.2.12-0.1, OS11r1 - 0, OS11r1 - 5.2.12-0.1.1, OS11r2 - 0, OS11r2 - 5.3.1-0.1.1) php5 (ES10SP2 - 0, ES10SP2 - 5.2.5-9.23.3, ES10SP3 - 0, ES10SP3 - 5.2.5-9.25.1, ES11SP0 - 0, ES11SP0 - 5.2.6-50.24.1, OS11r0 - 0, OS11r0 - 5.2.12-0.1, OS11r1 - 0, OS11r1 - 5.2.12-0.1.1, OS11r2 - 0, OS11r2 - 5.3.1-0.1.1) PHP (5.2.0, 5.2.12)
Описание
Функция htmlspecialchars в PHP некорректно обрабатывает слишком длинные последовательности UTF-8, неверные последовательности Shift_JIS и неверные последовательности EUC-JP. Уязвимость позволяет злоумышленникам, действующим удаленно, провести атаку межсайтового выполнения сценариев, поместив специально сформированную последовательность байтов перед определенным символом.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://support.novell.com/security/cve/CVE-2009-4142.html