iPlanet WebServer跨站脚本执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1203582 漏洞类型 输入验证
发布时间 2002-11-29 更新时间 2006-12-27
CVE编号 CVE-2002-1315 CNNVD-ID CNNVD-200211-043
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200211-043
|漏洞详情
SuniPlanetWeb是一款SunMicrosystems公司开发的商业WEB服务器程序,包含iPlanetAdminserver管理服务程序。iPlanetWEB服务程序对用户提交的URL输入缺少正确检查,远程攻击者可以利用这个漏洞进行跨站脚本执行攻击,结合其他漏洞可以导致以root用户权限执行任意命令。iPlanetWEB服务程序没有对用户提交的URI请求做任何过滤,攻击者可以提交包含恶意脚本代码的URI请求给服务程序,会导致此请求在错误日志中记录,当管理员被诱骗查看日志时,会使包含的恶意脚本代码在管理员浏览器中执行,结合"iPlanetWebServer管理服务PERL脚本任意命令执行漏洞",可以以root用户权限在系统上执行任意命令。
|参考资料

来源:BID
名称:6202
链接:http://www.securityfocus.com/bid/6202
来源:www.ngsec.com
链接:http://www.ngsec.com/docs/advisories/NGSEC-2002-4.txt
来源:XF
名称:iplanet-admin-log-xss(10692)
链接:http://www.iss.net/security_center/static/10692.php
来源:SUNALERT
名称:49475
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-49475-1
来源:BUGTRAQ
名称:20021119iPlanetWebServer,remoterootcompromise
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103772308030269&w=2
来源:VULNWATCH
名称:20021118iPlanetWebServer,remoterootcompromise
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0078.html