发布日期：2002-03-27
更新日期：2002-04-03

受影响系统：

Citrix Nfuse 1.6
Citrix Nfuse 1.51

描述：

---

BUGTRAQ  ID: 4372
CVE(CAN) ID: CVE-2002-0504

Citrix NFuse是一款应用构建服务程序，通过WEB浏览器提供任意应用程序的功能，NFuse需要与WEB服务器结合工作，运行在多种操作系统下，包括Unix、Linux、Windows。

Citrix NFuse对用户输入过滤上存在漏洞，可使远程攻击者建立包含恶意代码的链接对其他浏览用户进行跨站脚本执行攻击。

Citrix NFuse中的launch.asp和launch.jsp脚本代码没有过滤来自URL参数的脚本代码，攻击者可以建立包含恶意Javascript代码的链接，当其他浏览用户访问此链接的时候，导致恶意Javascript代码在浏览用户浏览器上执行。

此漏洞可导致攻击者获取基于Cookie认证的敏感信息。

<*来源：Eric Detoisien （eric.detoisien@global-secure.fr）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0334.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用访问控制限制launch.jsp脚本访问。

厂商补丁：

Citrix
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.citrix.com/products/nfuse/default.asp

浏览次数：2998
严重程度：0（网友投票）