漏洞信息详情
maxthon maxthon_browser 跨站脚本攻击漏洞
- CNNVD编号:CNNVD-200908-493
- 危害等级: 中危
- CVE编号: CVE-2009-3018
- 漏洞类型: 跨站脚本
- 发布时间: 2009-08-31
- 威胁类型: 远程
- 更新时间: 2009-09-05
- 厂 商: maxthon
- 漏洞来源:
漏洞简介
带有Ultramode的Maxthon Browser 3.0.0.145 Alpha没有在HTTP响应中正确的拦截刷新眉首中的Javascript:URIs和数据:URIs,这使得远程攻击者可以借助一些向量,执行跨站脚本攻击。这些向量涉及(1)注入一个包含data:text/HTML URI中的Javascript序列的刷新头或(2)在详细说明刷新头的内容时,借助Javascript序列输入一个data:text/HTML URI,或(3)注入一个包含data:text/HTML URI中的Javascript序列的刷新头,或(4)在详细说明刷新头的内容时,借助Javascript序列输入一个data:text/HTML URI;它没有适当地阻挡HTTP响应中的定位头的data: URIs,这会允许用户协助式远程攻击者借助一些向量,执行跨站脚本攻击。这些向量涉及:(5)注入一个包含data:text/HTML URI中的Javascript序列的刷新头或(6)在详细说明刷新头的内容时,借助Javascript序列输入一个data:text/HTML URI;它没有适当地处理从web服务器发送过来的(a)301和(b)302错误文档中的HTML链接内的Javascript: URIs,这会允许用户协助式远程攻击者可以借助与(7)注入一个Location HTTP响应头(8)详细说明一个Location HTTP响应头的内容相关的向量,执行跨站脚本攻击。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.maxthon.com/
参考网址
来源: XF 名称: maxthon-browser-Javascript-xss(53001) 链接:http://xforce.iss.net/xforce/xfdb/53001 来源: BUGTRAQ 名称: 20090828 Cross-Site Scripting vulnerability in Mozilla, Firefox, SeaMonkey, Orca Browser and Maxthon 链接:http://www.securityfocus.com/archive/1/archive/1/506163/100/0/threaded 来源: MISC 链接:http://websecurity.com.ua/3386/
受影响实体
- Maxthon Maxthon_browser:3.0.0.145:Alpha
补丁
暂无
评论