NFuse存在跨站脚本可执行漏洞发布时间:2002-03-29 更新时间:2002-03-29 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 NFuse 1.6 + Apache详细描述 NFuse 提供的launch.jsp或者launch.asp在getLastError()模式调用中没有充分对URL参数进行过滤,可导致跨站脚本可执行。问题存在于如下脚本代码: if (!parser.Parse()) { out.println("Error: " + parser.getLastError()); } else { ... } 测试代码 http://my_nfuse_portal.com/launch.jsp?NFuse_Application=>alert(document.cookie);</script> 解决方案 尚无 相关信息 Eric Detoisien (eric.detoisien@global-secure.fr) 参考:http://archives.neohapsis.com/archives/bugtraq/2002-03/0334.html |
