DSECRG-09-025: Межсайтовый скриптинг
Вендор
Oracle
Продукт
Oracle Secure Enterprise Search (SES) version 10.1.8.2.0
Тип уязвимости
Межсайтовый скриптинг
Reported
21.01.2009
Date of Public Advisory
16.07.2009
Автор
Александр Поляков
Детальное описание
Уязвимость обнаружена на странице /search/query/search.
Уязвимый параметр — search_p_groups.
Пример
http://[localhost]:7777/search/query/search?search.timezone=&search_p_groups=»‘><IMG%20SRC=javascript:alert(document.cookie)>&q=1234&btnSearch=Search
Злоумышленник может внедрить XSS, добавив javascript код в параметр search_p_groups
Используя данную уязвимость, злоумышленник может перехватить cookie администратора.
Решение
Официальная информация об уязвимости вместе с пакетом обновлений вышла 14 июля 2009 года. Все заказчики могут скачать и установить обновления, следуя инструкциям из официального Advisory.