漏洞信息详情

Microsoft ASP.NET InnerHTML属性跨站脚本攻击漏洞

• CNNVD编号：CNNVD-201005-387
• 危害等级： 中危
  
• CVE编号： CVE-2010-2084
• 漏洞类型： 跨站脚本
• 发布时间： 2010-05-31
• 威胁类型： 远程
• 更新时间： 2010-06-01
• 厂        商： microsoft
• 漏洞来源：

漏洞简介

ASP.NET是由微软在.NET Framework中所提供的，开发Web应用程序的类库。

Microsoft ASP.NET 2.0在继承HTMLContainerControl的控件的过程中没有防止用户设置InnerHTML属性，远程攻击者可通过属性相关向量发起跨站脚本攻击(XSS)。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://msdn.microsoft.com/en-us/library/ms972976.aspx#viewstate_topic12

参考网址

来源: MISC

链接:http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2010/03/30/configuration-is-half-the-battle-asp-net-and-cross-site-scripting.aspx

受影响实体

• Microsoft Asp.Net:2.0  

补丁

暂无