漏洞信息详情
ColdFusion MX错误页面跨站脚本执行漏洞
- CNNVD编号:CNNVD-200212-497
- 危害等级: 中危
- CVE编号: CVE-2002-1700
- 漏洞类型: 跨站脚本
- 发布时间: 2002-06-14
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: macromedia
- 漏洞来源: Ory Segal※ ORY.SEG...
漏洞简介
Macromedia ColdFusion MX是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术。可以与XML、Web Services和Microsoft .NET环境相集成。 Macromedia ColdFusion MX中包含的404错误页面对特殊字符缺少过滤,远程攻击者可能利用此漏洞进行跨站脚本执行攻击。 Macromedia ColdFusion MX默认包含404错误页面,404错误页面在处理不存在.cfm文件时过滤不够充分,攻击者可以构建包含恶意HTML代码的数据作为.cfm文件名的链接,当用户点击此链接时,可导致攻击者提供的脚本代码在用户WEB浏览器上执行,使用户在浏览器中执待攻击者插入在HTML页面中的恶意脚本代码。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 改变设置,使404错误页不关联.cfm文件,并构建自己的404错误页。 厂商补丁: Allaire ------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Macromedia Patch MPSB02-03.zip
http://download.macromedia.com/pub/security_zone/cfmx/MPSB02-03.zip
参考网址
来源: XF 名称: coldfusion-missing-template-CSS(9360) 链接:http://xforce.iss.net/xforce/xfdb/9360 来源: BID 名称: 5011 链接:http://www.securityfocus.com/bid/5011 来源: www.macromedia.com 链接:http://www.macromedia.com/v1/Handlers/index.cfm?ID=23047 来源:NSFOCUS 名称:2985 链接:http://www.nsfocus.net/vulndb/2985
受影响实体
- Macromedia Coldfusion:6.0
补丁
暂无
评论