漏洞信息详情
Virtual Programming VP-ASP Shopping Cart Shop$DB.ASP跨站脚本漏洞
- CNNVD编号:CNNVD-200412-1047 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2004-2411
- 漏洞类型: 访问验证错误
- 发布时间: 2004-06-12
- 威胁类型: 远程
- 更新时间: 2006-04-07
- 厂 商: virtual_programming
- 漏洞来源: Thomas Ryan※ tommy...
-
漏洞简介
Virtual Programming VP-ASP是一款商业性质的电子购物应用系统,由ASP脚本编写。 Virtual Programming VP-ASP的登录脚本对用户提交的输入没有很好的过滤,远程攻击者可以利用这个漏洞进行跨站脚本攻击,获得敏感信息。 问题存在于Shop$DB.ASP脚本上,对用户提交的恶意HTML或Javascript脚本数据缺少过滤,当其他用户查看恶意链接时,恶意代码可在用户浏览器上执行,导致基于COOKIE的信息泄露。
漏洞公告
厂商补丁: Virtual Programming ------------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
编辑shop$db.asp文件,在如下代码段前增加'rc=instr(lmsg, "=")':
Sub CleanseMessage (msg, rc)
dim lmsg, pos
lmsg=lcase(msg)
pos=instr(lmsg, "
补丁
暂无
漏洞信息快速查询
| 漏洞名称: | ||
| 漏洞编号: | ||
| 发布时间 从: | ||
| 到: | ||
| 搜索 | 重置 | |
相关漏洞
更多
数据文件
还没有评论,来说两句吧...