漏洞信息详情
Orca Browser跨站脚本攻击漏洞
- CNNVD编号:CNNVD-200908-492
- 危害等级: 中危
- CVE编号: CVE-2009-3017
- 漏洞类型: 跨站脚本
- 发布时间: 2009-08-31
- 威胁类型: 远程
- 更新时间: 2009-09-05
- 厂 商: orcabrowser
- 漏洞来源:
漏洞简介
Orca Browser 1.2 build 5没有在HTTP响应中正确的拦截刷新眉首和location头中的数据:URIs,远程攻击者可以借助一些向量,执行跨站脚本攻击。这些向量涉及注入一个包含data:text/HTML URI中的Javascript序列的刷新头或在详细说明刷新头的内容时,借助Javascript序列输入一个data:text/HTML URI,或注入一个包含data:text/HTML URI中的Javascript序列的刷新头,或在详细说明刷新头的内容时,借助Javascript序列输入一个data:text/HTML URI;没有适当地处理从web服务器发送过来的302错误文档中的HTML链接内的Javascript: URIs,用户协助式远程攻击者可以借助与注入一个Location HTTP响应头详细说明一个Location HTTP响应头的内容相关的向量,执行跨站脚本攻击。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.orcabrowser.com/
参考网址
来源: XF
名称: orca-browser-data-xss(53002)
链接:http://xforce.iss.net/xforce/xfdb/53002
来源: BUGTRAQ
名称: 20090828 Cross-Site Scripting vulnerability in Mozilla, Firefox, SeaMonkey, Orca Browser and Maxthon
链接:http://www.securityfocus.com/archive/1/archive/1/506163/100/0/threaded
来源: MISC
链接:http://websecurity.com.ua/3386/
受影响实体
- Orcabrowser Orca_browser:1.2
补丁
暂无
评论