Microsoft Dynamics AX Enterprise Portal跨站脚本漏洞

日期: 2012/06/14 | 标签:microsoft | 游览：294

漏洞起因
跨站脚本错误
危险等级
中

影响系统
Microsoft Dynamics AX 2012

不受影响系统

危害
远程攻击者可以利用漏洞可获得敏感信息或劫持用户会话。

攻击所需条件
攻击者必须构建恶意URI，诱使用户解析。

漏洞信息
Microsoft Dynamics AX 2012是一款微软发行的ERP零售解决方案。
Microsoft Dynamics AX 2012存在一个跨站脚本攻击，允许攻击者获得敏感信息或劫持用户会话。
提交给Enterprise Portal的部分输入在返回用户之前缺少过滤，攻击者可以构建恶意URI，诱使用户解析，可获得敏感信息或劫持用户会话。

测试方法
临时解决方案：
-在Internet Explorer 8和9中在本地Intranet安全域中启用XSS过滤器。

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息：
http://technet.microsoft.com/en-us/security/bulletin/MS12-040

漏洞提供者
Finian Mackin

← Microsoft .NET Framework WinForms内存访问漏洞

Microsoft Internet Explorer toStaticHTML过滤漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Microsoft Dynamics AX Enterprise Portal跨站脚本漏洞

评论关闭。