Érintett rendszerek
Apache Software FoundationTomcat
Érintett verziók
Apache Software Foundation Tomcat 5.5.0 - 5.5.24, 6.0.0 - 6.0.13
Összefoglaló
Egy sérülékenységet jelentettek az Apache Tomcat-ben, amit rosszindulatú támadók kihasználhatnak cross-site scripting támadásokhoz.
Leírás
Egy sérülékenységet jelentettek az Apache Tomcat-ben, amit rosszindulatú támadók kihasználhatnak cross-site scripting támadásokhoz.
Az “alias” paraméternek adott bemenet a “host-manager/html/add”-ben nincs megfelelően megtisztítva mielőtt azt visszaküldené a felhasználónak. Ez kihasználható tetszőleges HTML és script kódok futtatásához a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
A sikeres kiaknázáshoz szükséges, hogy az áldozatnak érvényes hozzáférése legyen.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: lists.grok.org.uk
CVE-2007-3386 - NVD CVE-2007-3386
Egyéb referencia: jvn.jp
SECUNIA 26465