FeedDemon ‘Feed Preview’任意脚本注入漏洞

漏洞起因
输入验证错误
危险等级
中危
 
影响系统
NewsGator FeedDemon 3.1.0.9
 
不受影响系统
NewsGator FeedDemon 4.1.0.0
 
危害
远程攻击者可以利用漏洞获取数据库敏感信息或控制应用系统。
 
攻击所需条件
攻击者必须访问构建恶意FEED,诱使用户解析。
 
漏洞信息
FeedDemon是一款受欢迎的RSS阅读软件。
通过外部feed传递的输入在用于feed预览时缺少充分过滤,可被利用注入任意HTML和脚本代码,当恶意数据被查看时可以浏览器用户上下文执行任意代码,可获得敏感信息或劫持用户信息。
 
测试方法
 
厂商解决方案
NewsGator FeedDemon 4.1.0.0已经修复此漏洞,建议用户下载使用:
http://www.feedemon.com/
 
漏洞提供者
JVN credits Daiki Fukumori, Cyber Defense Institute

评论关闭。