Sun Java System Web Server 搜索模块 XSS

medium Nessus 插件 ID 32136

简介

远程 Web 服务器中包含的 JSP 应用程序受到跨站脚本漏洞的影响。

描述

远程主机上运行的 Sun Java System Web Server 是一款用于在企业环境中进行用户配置和身份审计的 Java 应用程序。

远程主机上安装的 Sun Java System Web Server 版本在使用用户向其搜索模块提供的输入生成动态内容之前,无法对其进行清理。未经身份验证的远程攻击者可能会利用此问题将任意 HTML 或脚本代码注入到用户的浏览器,以便在受影响站点的安全环境中执行。

解决方案

请编辑位于“<WS-install>/lib/webapps/search/index.jsp”的名为“index.jsp”的默认搜索 Web 应用程序文件,以删除包含文本“out.println(s)”的行;或者应用上述供应商公告中所述的相应修补程序。

另见

https://download.oracle.com/sunalerts/1018981.1.html

插件详情

严重性: Medium

ID: 32136

文件名: sun_java_web_server_search_xss.nasl

版本: 1.24

类型: remote

发布时间: 2008/5/9

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.7

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2008-2166

漏洞信息

CPE: cpe:/a:sun:java_system_web_server

排除的 KB 项: Settings/disable_cgi_scanning

易利用性: No exploit is required

补丁发布日期: 2008/5/6

参考资料信息

CVE: CVE-2008-2166

BID: 29087

CWE: 79

IAVB: 2008-B-0045-S

SECUNIA: 30133