受影响系统:
WebWorks.com WebWorks Help 5.0
WebWorks.com WebWorks Help 4.0
WebWorks.com WebWorks Help 3.0
WebWorks.com WebWorks Help 2.0
描述:
WebWorks Help是多个产品中所使用的在线帮助组件。
WebWorks Help没有正确的过滤提交给(1) wwhelp_entry.html页面 (2) wwhelp/wwhimpl/api.htm页面 (3) wwhelp/wwhimpl/common/html/frameset.htm页面 (4) wwhelp/wwhimpl/common/scripts/switch.js脚本和 (5) wwhelp/wwhimpl/common/html/bookmark.htm页面中的window.opener组件的输入参数,用户受骗访问了恶意网页或跟随了恶意书签主题链接就可能导致执行跨站脚本。
<*来源:Daniel Grzelak
Alex Kouzemtchenko
链接:http://secunia.com/advisories/37460/
http://www.webworks.com/Security/2009-0001/
http://lists.vmware.com/pipermail/security-announce/2009/000073.html
http://marc.info/?l=bugtraq&m=126773617514666&w=2
*>
建议:
厂商补丁:
WebWorks.com
————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。