Informix informixserver 參數 XSS 的 OpenAdmin 工具
medium Nessus Plugin ID 56172
語系:
概要
遠端 web 伺服器承載的 PHP 指令碼容易遭受跨網站指令碼攻擊。說明
遠端 web 伺服器上主控之 Informix 的 OpenAdmin 工具執行個體在使用使用者對「index.php」指令碼之「informixserver」參數的輸入來產生動態 HTML 輸出之前,無法予以清理。攻擊者可以利用此弱點將任意 HTML 或指令碼插入使用者的瀏覽器,以便在受影響的網站所在的安全性環境內執行。
請注意,此指令碼也可能受到涉及「host」與「port」參數之其他跨網站指令碼問題影響,但 Nessus 尚未對此進行檢查。
解決方案
升級至 OpenAdmin 工具 2.72 或更新版本,據報其可修正此弱點。另請參閱
http://voidroot.blogspot.com/2011/08/xss-in-ibm-open-admin-tool.html
Plugin 詳細資訊
嚴重性: Medium
ID: 56172
檔案名稱: openadmin_tool_informixserver_xss.nasl
版本: 1.12
類型: remote
系列: CGI abuses : XSS
已發布: 2011/9/13
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
CPE: cpe:/a:ibm:openadmin_tool
必要的 KB 項目: www/PHP, www/openadmin
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
修補程式發佈日期: 2011/3/1
弱點發布日期: 2011/8/19
參考資訊
CVE: CVE-2011-3390
BID: 49364