漏洞信息详情

ColdFusion MX错误页面跨站脚本执行漏洞

• CNNVD编号：CNNVD-200212-497
• 危害等级： 中危
  
• CVE编号： CVE-2002-1700
• 漏洞类型： 跨站脚本
• 发布时间： 2002-06-14
• 威胁类型： 远程
• 更新时间： 2005-10-20
• 厂        商： macromedia
• 漏洞来源： Ory Segal※ ORY.SEG...

漏洞简介

Macromedia ColdFusion MX是一款高效的网络应用服务器开发环境，具有很高的易用性和开发效率，基于标准的Java技术。可以与XML、Web Services和Microsoft .NET环境相集成。 Macromedia ColdFusion MX中包含的404错误页面对特殊字符缺少过滤，远程攻击者可能利用此漏洞进行跨站脚本执行攻击。 Macromedia ColdFusion MX默认包含404错误页面，404错误页面在处理不存在.cfm文件时过滤不够充分，攻击者可以构建包含恶意HTML代码的数据作为.cfm文件名的链接，当用户点击此链接时，可导致攻击者提供的脚本代码在用户WEB浏览器上执行，使用户在浏览器中执待攻击者插入在HTML页面中的恶意脚本代码。

漏洞公告

临时解决方法： 如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 改变设置，使404错误页不关联.cfm文件，并构建自己的404错误页。 厂商补丁： Allaire ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Macromedia Patch MPSB02-03.zip

http://download.macromedia.com/pub/security_zone/cfmx/MPSB02-03.zip

参考网址

来源: XF 名称: coldfusion-missing-template-CSS(9360) 链接:http://xforce.iss.net/xforce/xfdb/9360 来源: BID 名称: 5011 链接:http://www.securityfocus.com/bid/5011 来源: www.macromedia.com 链接:http://www.macromedia.com/v1/Handlers/index.cfm?ID=23047 来源：NSFOCUS 名称：2985 链接：http://www.nsfocus.net/vulndb/2985

受影响实体

• Macromedia Coldfusion:6.0  

补丁

暂无