安全研究
安全漏洞
ColdFusion MX错误页面跨站脚本执行漏洞
发布日期:2002-06-14
更新日期:2002-06-22
受影响系统:Allaire ColdFusion Server MX Developer
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 SP3
Allaire ColdFusion Server MX Enterprise
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 SP3
Allaire ColdFusion Server MX Professional
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 SP3
描述:
BUGTRAQ ID:
5011
CVE(CAN) ID:
CVE-2002-1700
Macromedia ColdFusion MX是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术。可以与XML、Web Services和Microsoft .NET环境相集成。
Macromedia ColdFusion MX中包含的404错误页面对特殊字符缺少过滤,远程攻击者可能利用此漏洞进行跨站脚本执行攻击。
Macromedia ColdFusion MX默认包含404错误页面,404错误页面在处理不存在.cfm文件时过滤不够充分,攻击者可以构建包含恶意HTML代码的数据作为.cfm文件名的链接,当用户点击此链接时,可导致攻击者提供的脚本代码在用户WEB浏览器上执行,使用户在浏览器中执待攻击者插入在HTML页面中的恶意脚本代码。
<*来源:Ory Segal (
ORY.SEGAL@SANCTUMINC.COM)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-06/0210.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 改变设置,使404错误页不关联.cfm文件,并构建自己的404错误页。
厂商补丁:
Allaire
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Macromedia Patch MPSB02-03.zip
http://download.macromedia.com/pub/security_zone/cfmx/MPSB02-03.zip浏览次数:3361
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |