正文

National Rail Enquiries Live Departure Boards Gadget跨站脚本攻击漏洞

admin
admin V管理员 /0 评论 /5 阅读
0104
此篇文章发布距今已超过1224天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

National Rail Enquiries Live Departure Boards Gadget跨站脚本攻击漏洞

  • CNNVD编号:CNNVD-200804-429
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2008-2011
  • 漏洞类型: 跨站脚本
  • 发布时间: 2008-04-29
  • 威胁类型: 远程
  • 更新时间: 2008-09-05
  • 厂        商: national_rail_enquiries
  • 漏洞来源: R Dominguez Vega o...

漏洞简介

C1.1版本以前的National Rail Enquiries Live Departure Boards gadget中存在跨站脚本攻击漏洞,会允许National Rail Enquiries 服务器或中间人攻击者通过一个反应实体(例如,涉及一个vbscript:URI的一个SCRIPT元素),来执行任意web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁 version 1.1 以修复这个安全问题,补丁下载链接:

http://gallery.live.com/LiveItemDetail.aspx?li=aef90e44-18cf-4246-b1d9-4ab83e0e13db

参考网址

来源: MISC

链接:http://www.mwrinfosecurity.com/publications/mwri_national-rail-enquiries-gadget-advisory_2008-04-24.pdf

来源: XF

名称: nationalrail-gadget-code-execution(42043)

链接:http://xforce.iss.net/xforce/xfdb/42043

来源: BID

名称: 28933

链接:http://www.securityfocus.com/bid/28933

来源: MISC

链接:http://www.mwrinfosecurity.com/news/1690.html

受影响实体

  • National_rail_enquiries National_rail_enquiries_live_departure_boards:1.1  
    <!--
    2000-1-1
    -->

补丁

    暂无