Adobe Acrobat Reader Plugin 多个CRLF跨站脚本伪造攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1192249 漏洞类型 未知
发布时间 2007-01-03 更新时间 2007-01-03
CVE编号 CVE-2007-0047 CNNVD-ID CNNVD-200701-006
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
https://www.securityfocus.com/bid/86830
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200701-006
|漏洞详情
AdobeAcrobatReader是Adobe公司开发的一款优秀的PDF文档阅读软件。AdobeAcrobatReaderPlugin8.0.0之前版本中存在CRLF注入攻击漏洞。当和Microsoft.XMLHTTPActiveXobject一起在InternetExplorer中使用时,远程攻击者可以借助(1)FDF,(2)XML或(3)XFDFAJAX请求参数中的javascript:URI里的CRLF序列,注入任意的HTTP头和执行HTTP响应进行攻击。
|受影响的产品
Adobe Reader 7.0.8
|参考资料

来源:XF
名称:adobe-acrobat-xmlhttp-response-splitting(31291)
链接:http://xforce.iss.net/xforce/xfdb/31291
来源:VUPEN
名称:ADV-2007-0032
链接:http://www.frsirt.com/english/advisories/2007/0032
来源:SECTRACK
名称:1017469
链接:http://securitytracker.com/id?1017469
来源:SECUNIA
名称:23882
链接:http://secunia.com/advisories/23882
来源:SUSE
名称:SUSE-SA:2007:011
链接:http://lists.suse.com/archive/suse-security-announce/2007-Jan/0012.html
来源:MISC
链接:http://events.ccc.de/congress/2006/Fahrplan/attachments/1158-Subverting_Ajax.pdf