DSECRG-09-038

Продукт

Sun Glassfish Woodstock Project (часть Glassfish Enterprise Server) 4.2

Тип уязвимости

Межсайтовый скриптинг 

Reported

19.03.2009

Date of Public Advisory

05.05.2009

Детальное описание

Используя данные уязвимости, злоумышленник может перехватить cookie администратора и выполнить различные действия от его имени. Злоумышленник может внедрить скрипт в строку URL, используя UTF-7 кодировку. Эксплуатация данной уязвимости требует использования автоматического выбора кодировки в браузере. 

Пример
*********
http://[server]/theme/META-INF/>+ACJ-+AD4APB-SCRIPT+AD7-alert(+ACI-DSecRG_XSS+ACI-)+ADz-/SCRIPT+AD7- 

Решение 
**********
Уязвимость исправлена в CVS.