ColdFusion MX错误页面跨站脚本执行漏洞

漏洞信息详情

ColdFusion MX错误页面跨站脚本执行漏洞

• CNNVD编号：CNNVD-200212-497
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1700
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2002-06-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  macromedia
• 漏洞来源：
  Ory Segal※ ORY.SEG…

Macromedia ColdFusion MX是一款高效的网络应用服务器开发环境，具有很高的易用性和开发效率，基于标准的Java技术。可以与XML、Web Services和Microsoft .NET环境相集成。
Macromedia ColdFusion MX中包含的404错误页面对特殊字符缺少过滤，远程攻击者可能利用此漏洞进行跨站脚本执行攻击。
Macromedia ColdFusion MX默认包含404错误页面，404错误页面在处理不存在.cfm文件时过滤不够充分，攻击者可以构建包含恶意HTML代码的数据作为.cfm文件名的链接，当用户点击此链接时，可导致攻击者提供的脚本代码在用户WEB浏览器上执行，使用户在浏览器中执待攻击者插入在HTML页面中的恶意脚本代码。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 改变设置，使404错误页不关联.cfm文件，并构建自己的404错误页。
厂商补丁：
Allaire
——-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Macromedia Patch MPSB02-03.zip

http://download.macromedia.com/pub/security_zone/cfmx/MPSB02-03.zip” target=”_blank”>
http://download.macromedia.com/pub/security_zone/cfmx/MPSB02-03.zip

来源: XF
名称: coldfusion-missing-template-css(9360)
链接:http://xforce.iss.net/xforce/xfdb/9360

来源: BID
名称: 5011
链接:http://www.securityfocus.com/bid/5011

来源: www.macromedia.com
链接:http://www.macromedia.com/v1/Handlers/index.cfm?ID=23047

来源：NSFOCUS
名称：2985
链接：http://www.nsfocus.net/vulndb/2985