检测

SAP BusinessObjects viewError.jsp 'error' 参数 XSS

medium Nessus 插件 ID 44343

语言:

简介

远程主机上的 Web 应用程序存在跨站脚本漏洞。

描述

远程 Web 服务器上安装的 SAP BusinessObjects 版本存有一个跨站脚本漏洞。未正确生产传输至 '/PerformanceManagement/jsp/viewError.jsp' 中 'error' 参数的输入。远程攻击者可以通过诱骗用户请求特别构建的 URL 来利用此问题,从而导致执行任意脚本代码。有报告称此 BusinessObjects 版本存在多个其他漏洞,不过 Nessus 未对这些问题进行检查。

解决方案

请联系供应商获取修复。

另见

http://www.nessus.org/u?c9cfae68

https://seclists.org/fulldisclosure/2010/Jan/572

插件详情

严重性: Medium

ID: 44343

文件名: sap_bobj_viewerror_xss.nasl

版本: 1.13

类型: remote

发布时间: 2010/2/1

最近更新时间: 2021/1/19

支持的传感器: Nessus

漏洞信息

CPE: cpe:/a:sap:businessobjects

必需的 KB 项: www/sap_bobj

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2010/1/18

参考资料信息

BID: 37900, 37972

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990

Secunia: 38217