IBM WebSphere Service Registry and Repository多个跨站脚本漏洞

发布日期：2010-08-06
更新日期：2010-08-09受影响系统：
IBM WebSphere Service Registry and Repository 6.3
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 42281WebSphere Service Registry and Repository是用于存储、访问和管理信息（通常是指服务元数据）的系统。当queryConditionGroupType设置为AND的时候，WebSphere Service Registry and Repository没有正确地过滤提交给ServiceRegistry/HelpSearch.do的searchTerm参数和提交给ServiceRegistry/QueryWizardProcessStep1.do的queryItems[0].value参数便返回给了用户，这可能导致跨站脚本攻击。<*来源：IBM （ncsupp@ca.ibm.com）

链接：http://secunia.com/advisories/40862/
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！/ServiceRegistry/HelpSearch.do？searchTerm=%22%3E%3Cscript%3Ealert%28%22XSS%22%29%3C/script%3E%3C
/ServiceRegistry/QueryWizardProcessStep1.do？queryConditionGroupType=AND&queryItems[0].value=%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E&queryItems[1].value=&queryItems[2].value=&queryItems[3].value=&queryItems[4].value=&wizard.button.setClassification=&wizard.button.next=Next建议：
--------------------------------------------------------------------------------
厂商补丁：IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www-01.ibm.com/support/docview.wss？uid=swg1IZ76926ZNC substr（）函数异常处理拒绝服务漏洞Novell iPrint客户端浏览器插件ExecuteRequest调试参数远程栈溢出漏洞相关资讯漏洞

快递官网漏洞泄露 1400 万用户信息（08/12/2014 08:37:42）
要389目录服务器访问绕过漏洞（10/01/2012 09:18:08）
ASUS Net4Switch "ipswcom.dll" （03/02/2012 09:32:42）

软件漏洞是一笔大买卖！（10/06/2012 08:28:32）
PHPCMS V9.1.13任意文件包含漏洞分（08/01/2012 07:23:17）
Open Handset Alliance Android （03/01/2012 06:59:34）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任