发布日期：2002-11-19
更新日期：2002-11-21

受影响系统：

iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP9
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP8
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP7
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP6
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP5
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP4
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP3
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP2
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP11
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP10
iPlanet E-Commerce Solutions iPlanet Web Server 4.1 SP1
iPlanet E-Commerce Solutions iPlanet Web Server 4.1

描述：

---

CVE(CAN) ID: CVE-2002-1315

Sun iPlanet Web是一款Sun Microsystems公司开发的商业WEB服务器程序，包含iPlanet Admin server管理服务程序。

iPlanet WEB服务程序对用户提交的URL输入缺少正确检查，远程攻击者可以利用这个漏洞进行跨站脚本执行攻击，结合其他漏洞可以导致以root用户权限执行任意命令。

iPlanet WEB服务程序没有对用户提交的URI请求做任何过滤，攻击者可以提交包含恶意脚本代码的URI请求给服务程序，会导致此请求在错误日志中记录，当管理员被诱骗查看日志时，会使包含的恶意脚本代码在管理员浏览器中执行，结合"iPlanet WebServer管理服务PERL脚本任意命令执行漏洞"，可以以root用户权限在系统上执行任意命令。

<*来源：Ferm韓 J. Serna （fjserna@ngsec.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103772308030269&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时关闭浏览器的javascript功能。

厂商补丁：

iPlanet E-Commerce Solutions
----------------------------
iPlanet web server 6.x不存在跨站脚本执行漏洞，建议用户下载使用最新版本。

http://www.iplanet.com/

浏览次数：2679
严重程度：0（网友投票）