发布日期：2014-10-14
更新日期：2014-10-15

受影响系统：

Microsoft ASP.NET MVC 5.1
Microsoft ASP.NET MVC 5.0
Microsoft ASP.NET MVC 4.0
Microsoft ASP.NET MVC 3.0
Microsoft ASP.NET MVC 2.0

描述：

---

BUGTRAQ  ID: 70352
CVE(CAN) ID: CVE-2014-4075

ASP.NET MVC 是微软提供的以MVC模式为基础的ASP.NET Web应用程序框架。

ASP.NET MVC内存在跨站脚本漏洞，攻击者可利用此漏洞注入客户端脚本到用户Web浏览器。此漏洞源于没有正确编码输入。System.Web.Mvc.dll组件受到此漏洞的影响。

<*来源：Microsoft
  
  链接：http://secunia.com/advisories/60971/
        http://technet.microsoft.com/security/bulletin/MS14-059
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：


* 设置互联网和内联网安全区域设置为“高”

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS14-059）以及相应补丁:
MS14-059：Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass
链接：http://technet.microsoft.com/security/bulletin/MS14-059

浏览次数：1769
严重程度：0（网友投票）