Resin viewfile Servlet 檔案參數 XSS

medium Nessus Plugin ID 33273

語系:

概要

遠端 Web 伺服器中有一個 Java Servlet 受到跨網站指令碼弱點的影響。

說明

遠端主機正在執行一個應用程式伺服器 Resin。

遠端主機上安裝的 Resin 版本隨附的「viewfile」Servlet 未清理「file」參數的使用者輸入內容,便將其包含在動態 HTML 輸出中。攻擊者可以利用此問題,將任意 HTML 和指令碼插入使用者的瀏覽器,以便在受影響網站的安全性環境中執行。

請注意,受影響的 Servlet 是 Resin 文件的一部分,不應安裝在生產伺服器上。

解決方案

升級至 Resin 或 Resin Pro 3.1.4 / 3.0.25 或更新版本。

另請參閱

https://www.kb.cert.org/vuls/id/305208/

Plugin 詳細資訊

嚴重性: Medium

ID: 33273

檔案名稱: resin_viewfile_xss.nasl

版本: 1.20

類型: remote

已發布: 2008/6/30

已更新: 2021/1/19

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3.0

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.7

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

弱點資訊

CPE: cpe:/a:caucho:resin

必要的 KB 項目: www/resin

可輕鬆利用: No exploit is required

修補程式發佈日期: 2008/6/25

參考資訊

CVE: CVE-2008-2462

BID: 29948

CWE: 79

CERT: 305208

Secunia: 30845