Unica Affinium Campaign 多个跨站脚本攻击漏洞

CNNVD-ID编号 CNNVD-200908-418
CVE编号 CVE-2008-7092
发布时间 2009-08-26
更新时间 2009-08-28
漏洞类型 跨站脚本
漏洞来源 Neil Kettle and Tim Brown
危险等级 中危
威胁类型 远程
厂 商 unica

漏洞介绍

Unica Affinium Campaign中存在多个跨站脚本攻击漏洞。远程攻击者可以借助以下方式注入任意的web脚本或HTML:(1)url中的一个Javascript事件,(2)PageName和(3)对Campaign/Campaign的CustomBookMarkLink操作中的主题参数;(4)对Campaign/updateOfferTemplateSubmit.do (又称板块网页)的displayIcon参数中的一个Javascript事件;(5)对Campaign/CampaignListener(又称监听者服务器)的特制输入(该输入在显示状态登陆日志时未经过适当的处理);和(6)对Campaign/campaignDetails.do的id参数,(7)对Campaign/offerDetails.do的id参数,(8)对Campaign/Campaign的函数参数, (9)对Campaign/runAllFlowchart.do的sessionid 参数, (10)一个编辑操作中对Campaign/updateOfferTemplatePage.do的 id 参数, (11)一个LoadFrame操作中对Campaign/Campaign的框架参数,(12)对manager/jsp/test.jsp的affiniumUserName参数,(13)对Campaign/main.do的affiniumUserName参数,以及其他向量。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

参考网址

受影响实体

信息来源