CNNVD-ID编号 | CNNVD-200908-418 |
CVE编号 | CVE-2008-7092 |
发布时间 | 2009-08-26 |
更新时间 | 2009-08-28 |
漏洞类型 | 跨站脚本 |
漏洞来源 | Neil Kettle and Tim Brown |
危险等级 | 中危 |
威胁类型 | 远程 |
厂 商 | unica |
Unica Affinium Campaign中存在多个跨站脚本攻击漏洞。远程攻击者可以借助以下方式注入任意的web脚本或HTML:(1)url中的一个Javascript事件,(2)PageName和(3)对Campaign/Campaign的CustomBookMarkLink操作中的主题参数;(4)对Campaign/updateOfferTemplateSubmit.do (又称板块网页)的displayIcon参数中的一个Javascript事件;(5)对Campaign/CampaignListener(又称监听者服务器)的特制输入(该输入在显示状态登陆日志时未经过适当的处理);和(6)对Campaign/campaignDetails.do的id参数,(7)对Campaign/offerDetails.do的id参数,(8)对Campaign/Campaign的函数参数, (9)对Campaign/runAllFlowchart.do的sessionid 参数, (10)一个编辑操作中对Campaign/updateOfferTemplatePage.do的 id 参数, (11)一个LoadFrame操作中对Campaign/Campaign的框架参数,(12)对manager/jsp/test.jsp的affiniumUserName参数,(13)对Campaign/main.do的affiniumUserName参数,以及其他向量。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.unica.com/products/Campaign_Management.htm
来源: XF
名称: affiniumcampaign-multiple-xss(44074)
来源: XF
名称: affiniumcampaign-campaignlistener-xss(44073)
来源: XF
名称: affiniumcampaign-displayicon-xss(44072)
来源: BID
名称: 30433
来源: MISC
来源: MISC
来源: MISC
来源: MISC
来源: OSVDB
名称: 47530
来源: OSVDB
名称: 47528
来源: OSVDB
名称: 47526
来源: OSVDB
名称: 47525
来源: OSVDB
名称: 47524
来源: OSVDB
名称: 47523
来源: OSVDB
名称: 47522
来源: OSVDB
名称: 47521
来源: OSVDB
名称: 47520