Citrix NFuse存在跨站脚本执行漏洞

漏洞信息详情

Citrix NFuse存在跨站脚本执行漏洞

• CNNVD编号：CNNVD-200208-071
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0504
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-03-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-12-27
  
• 厂        商：
  
  citrix
• 漏洞来源：
  Eric Detoisien※ er…

Citrix NFuse是一款应用构建服务程序，通过WEB浏览器提供任意应用程序的功能，NFuse需要与WEB服务器结合工作，运行在多种操作系统下，包括Unix、Linux、Windows。
Citrix NFuse对用户输入过滤上存在漏洞，可使远程攻击者建立包含恶意代码的链接对其他浏览用户进行跨站脚本执行攻击。
Citrix NFuse中的launch.asp和launch.jsp脚本代码没有过滤来自URL参数的脚本代码，攻击者可以建立包含恶意Javascript代码的链接，当其他浏览用户访问此链接的时候，导致恶意Javascript代码在浏览用户浏览器上执行。
此漏洞可导致攻击者获取基于Cookie认证的敏感信息。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 使用访问控制限制launch.jsp脚本访问。
厂商补丁：
Citrix
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.citrix.com/products/nfuse/default.asp” target=”_blank”>
http://www.citrix.com/products/nfuse/default.asp

来源: BID
名称: 4372
链接:http://www.securityfocus.com/bid/4372

来源: XF
名称: nfuse-launch-css(8659)
链接:http://www.iss.net/security_center/static/8659.php

来源: BUGTRAQ
名称: 20020327 NFuse Cross Site Scripting vulnerability
链接:http://archives.neohapsis.com/archives/bugtraq/2002-03/0334.html