SAP Crystal Report Server 2008 ‘pubDBLogon.jsp’跨站脚本漏洞

漏洞起因
输入验证错误
危险等级
低

影响系统
SAP Crystal Reports Server 2008

不受影响系统

危害
远程攻击者可以利用漏洞进行脚本注入攻击，获得敏感信息。

攻击所需条件
攻击者必须访问SAP Crystal Reports Server 2008。

漏洞信息
SAP Crystal Reports Server 2008是一个全面报表解决方案，通过网络或嵌入企业应用程序来创建、管理和交付报表。
通过"service"参数传递给pubDBLogon.jsp脚本的输入在返回用户之前缺少过滤，可导致跨站脚本漏洞，可在目标用户浏览器上执行任意HTML和脚本代码。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息：
https://service.sap.com/sap/support/notes/1562292

漏洞提供者
Dmitriy Chastuchin, Digital Security Research Group

SAP NetWeaver ipcpricing信息泄露漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

SAP Crystal Report Server 2008 ‘pubDBLogon.jsp’跨站脚本漏洞

0 条评论。

发表评论