• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Apache Tomcat (4.0.0, 4.0.6, 4.1.0, 4.1.36)
Описание
Межсайтовое выполнение сценариев в SendMailServlet в web-приложении examples (examples/jsp/mail/sendmail.jsp) в Apache Tomcat позволяет злоумышленникам, действующим удаленно, внедрить произвольный сценарий или HTML-код, используя поле From и, возможно, другие поля, связанные с генерацией сообщений об ошибках.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://tomcat.apache.org/
Ссылки
BUGTRAQ (20070721 CVE-2007-3383: XSS in Tomcat send mail example): http://www.securityfocus.com/archive/1/archive/1/474413/100/0/threaded
FULLDISC (20070721 CVE-2007-3383: XSS in Tomcat send mail example): http://seclists.org/fulldisclosure/2007/Jul/0448.html
http://tomcat.apache.org/security-4.html
CERT-VN (VU#862600): http://www.kb.cert.org/vuls/id/862600
FRSIRT (ADV-2007-2618): http://www.frsirt.com/english/advisories/2007/2618
XF (tomcat-sendmail-example-xss(35536)): http://xforce.iss.net/xforce/xfdb/35536