| 发布日期:2008-06-02 更新日期:2008-06-04 受影响系统: Apache Group Tomcat 6.0.0 - 6.0.16不受影响系统: Apache Group Tomcat 6.0.17描述: BUGTRAQ ID: 29502 CVE(CAN) ID: CVE-2008-1947 Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。 Apache Tomcat的host-manager/html/add文件没有正确地过滤对name参数的输入便返回给了用户,这允许远程攻击者通过跨站脚本攻击在登录用户浏览器会话中执行任意HTML和脚本代码。 <*来源:Petr Splichal 链接:http://secunia.com/advisories/30500/ http://marc.info/?l=tomcat-user&m=121244319501278&w=2 http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-5.html *> 测试方法: 警 告 ~ <INPUT TYPE="hidden" NAME='name' VALUE="<script>alert()</script>"> ~ <INPUT TYPE="hidden" NAME='aliases' VALUE="somealias"> ~ <input type="submit"> </form> 建议: 厂商补丁: Apache Group ------------ 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://jakarta.apache.org/tomcat/index.html |
| 本安全漏洞由绿盟科技翻译整理 |
Apache Tomcat主机管理器跨站脚本漏洞责任编辑:gxis_admin |
最新文章更多推荐文章更多热点文章更多
|