ColdFusion MX错误页面跨站脚本执行漏洞

ColdFusion MX错误页面跨站脚本执行漏洞

漏洞ID 1106792 漏洞类型 跨站脚本
发布时间 2002-06-13 更新时间 2005-10-20
图片[1]-ColdFusion MX错误页面跨站脚本执行漏洞-安全小百科CVE编号 CVE-2002-1700
图片[2]-ColdFusion MX错误页面跨站脚本执行漏洞-安全小百科CNNVD-ID CNNVD-200212-497
漏洞平台 CFM CVSS评分 4.3
|漏洞来源
https://www.exploit-db.com/exploits/21548
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-497
|漏洞详情
MacromediaColdFusionMX是一款高效的网络应用服务器开发环境,具有很高的易用性和开发效率,基于标准的Java技术。可以与XML、WebServices和Microsoft.NET环境相集成。MacromediaColdFusionMX中包含的404错误页面对特殊字符缺少过滤,远程攻击者可能利用此漏洞进行跨站脚本执行攻击。MacromediaColdFusionMX默认包含404错误页面,404错误页面在处理不存在.cfm文件时过滤不够充分,攻击者可以构建包含恶意HTML代码的数据作为.cfm文件名的链接,当用户点击此链接时,可导致攻击者提供的脚本代码在用户WEB浏览器上执行,使用户在浏览器中执待攻击者插入在HTML页面中的恶意脚本代码。
|漏洞EXP
source: http://www.securityfocus.com/bid/5011/info

ColdFusion MX is prone to cross site scripting attacks.

Attacker-supplied script code may be included in a malicious missing template URI generated by the default Missing Template handler of ColdFusion. The attacker-supplied script code will be executed in the browser of a web user who visits this link, in the security context of the host running ColdFusion. 

http://CF_MX_SERVER/<script>alert(document.cookie)</script>.cfm
|参考资料

来源:XF
名称:coldfusion-missing-template-css(9360)
链接:http://xforce.iss.net/xforce/xfdb/9360
来源:BID
名称:5011
链接:http://www.securityfocus.com/bid/5011
来源:www.macromedia.com
链接:http://www.macromedia.com/v1/Handlers/index.cfm?ID=23047
来源:NSFOCUS
名称:2985
链接:http://www.nsfocus.net/vulndb/2985

相关推荐: IRIX Csetup文件创建或重写漏洞

IRIX Csetup文件创建或重写漏洞 漏洞ID 1207574 漏洞类型 未知 发布时间 1997-01-08 更新时间 2005-05-02 CVE编号 CVE-1999-0049 CNNVD-ID CNNVD-199701-047 漏洞平台 N/A C…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享