CUPS < 1.4.2 kerberos 参数 XSS

medium Nessus 插件 ID 42468

简介

远程打印机服务受到一个跨站脚本漏洞的影响。

描述

根据其标题,远程主机上安装的 CUPS 版本低于 1.4.2。此类版本中的“kerberos”参数未经正确审查,便被用于生成动态 HTML 内容。

攻击者可利用此问题,通过属性注入组合和 HTTP 参数入完将任意脚本代码注入用户的浏览器,以便在受影响站点的安全环境中执行。

解决方案

升级到 CUPS 版本 1.4.2 或更高版本。

另见

http://www.cups.org/str.php?L3367

http://www.cups.org/articles.php?L590

插件详情

严重性: Medium

ID: 42468

文件名: cups_1_4_2.nasl

版本: 1.13

类型: remote

系列: Misc.

发布时间: 2009/11/11

最近更新时间: 2018/7/6

配置: 启用偏执模式

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.8

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

漏洞信息

CPE: cpe:/a:apple:cups

必需的 KB 项: Settings/ParanoidReport, www/cups

可利用: true

易利用性: Exploits are available

补丁发布日期: 2009/11/9

漏洞发布日期: 2009/10/7

参考资料信息

CVE: CVE-2009-2820

BID: 36958

CWE: 79

Secunia: 37308