发布日期：2010-07-27
更新日期：2010-07-28

受影响系统：

SAP NetWeaver 6.4 - 7.02

描述：

---

CVE ID: CVE-2010-2904

SAP NetWeaver是一个企业IT系统整合管理系统。

SAP NetWeaver的System Landscape Directory组件没有正确地过滤提交给testsdic脚本的action参数和paramhelp.jsp脚本的helpstring参数便返回给了用户，远程攻击者可以通过提交恶意参数请求执行跨站脚本攻击。

<*来源：Alexander Polyakov
  
  链接：http://secunia.com/advisories/40712/
        http://dsecrg.com/pages/vul/show.php?id=168
*>

建议：

---

厂商补丁：

SAP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://service.sap.com/sap/support/notes/1416047

浏览次数：2319
严重程度：0（网友投票）