安全研究

安全漏洞
WebWorks Help多个远程跨站脚本漏洞

发布日期:2009-12-15
更新日期:2010-03-05

受影响系统:
WebWorks.com WebWorks Help 5.0
WebWorks.com WebWorks Help 4.0
WebWorks.com WebWorks Help 3.0
WebWorks.com WebWorks Help 2.0
描述:
BUGTRAQ  ID: 37346
CVE(CAN) ID: CVE-2009-3731

WebWorks Help是多个产品中所使用的在线帮助组件。

WebWorks Help没有正确的过滤提交给(1) wwhelp_entry.html页面 (2) wwhelp/wwhimpl/api.htm页面 (3) wwhelp/wwhimpl/common/html/frameset.htm页面 (4) wwhelp/wwhimpl/common/scripts/switch.js脚本和 (5) wwhelp/wwhimpl/common/html/bookmark.htm页面中的window.opener组件的输入参数,用户受骗访问了恶意网页或跟随了恶意书签主题链接就可能导致执行跨站脚本。

<*来源:Daniel Grzelak
        Alex Kouzemtchenko
  
  链接:http://secunia.com/advisories/37460/
        http://www.webworks.com/Security/2009-0001/
        http://lists.vmware.com/pipermail/security-announce/2009/000073.html
        http://marc.info/?l=bugtraq&m=126773617514666&w=2
        http://secunia.com/advisories/38749/
*>

建议:
厂商补丁:

WebWorks.com
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.webworks.com/Security/2009-0001/

浏览次数:2147
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客