漏洞信息详情

qtweb 跨站脚本攻击漏洞

• CNNVD编号：CNNVD-200908-490
• 危害等级： 中危
  
• CVE编号： CVE-2009-3015
• 漏洞类型： 跨站脚本
• 发布时间： 2009-08-31
• 威胁类型： 远程
• 更新时间： 2009-09-05
• 厂        商： qtweb
• 漏洞来源：

漏洞简介

QtWeb 3.0 Builds 001和003没有在HTTP响应中正确的拦截刷新眉首和location头中的Javascript：URIs和数据：URIs，这使得远程攻击者可以借助一些向量，执行跨站脚本攻击。这些向量涉及(1)注入一个包含Javascript：URI的刷新头或(2)在详细说明刷新头的内容时，输入一个Javascript：URI，或(3)注入一个包含data：text/HTML URI中的Javascript序列的刷新头，(4)在详细说明刷新头的内容时，借助Javascript序列输入一个data：text/HTML URI；(5)注入一个包含data：text/HTML URI中的Javascript序列的Location头(6)在详细说明location头的内容时，借助Javascript序列输入一个data：text/HTML URI。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.qtweb.net/

参考网址

来源: XF 名称: qtweb-Javascript-xss(52993) 链接:http://xforce.iss.net/xforce/xfdb/52993 来源: MISC 链接:http://websecurity.com.ua/3386/

受影响实体

• Qtweb Qtweb:3.0  

补丁

暂无