SAP Internet Transaction Server cross-site scripting - Advisories

SAP Internet Transaction Server cross-site scripting

Secunia Advisory:	SA22171
Udsendt:	2006-10-03
Sidste Opdt.:	2006-10-05

Kritisk:	Mindre kritisk
Betydning:	Cross Site Scripting
Hvor:	Fra Internet
Løsning Status:	Producent Patch

Software:	SAP Internet Transaction Server (ITS)

CVE reference:	CVE-2006-5114 (Secunia mirror)

	Want to know the next time vulnerabilities are fixed in this product? - Companies can be alerted via email and SMS!

Beskrivelse: ILION Research Labs har rapporteret nogle sårbarheder i SAP ITS, som kan udnyttes af ondsindede personer til at udføre cross-site scriptingangreb. Input suppleret til parametrene "~urlmime" og "~command" in WGate-udvidelsen filtreres ikke korrekt, før det returneres til brugere. Dette kan udnyttes til at eksekvere vilkårlig HTML og scriptkode i en brugers browser-session associeret med et sårbart site. Eksempler: http://[host]/scripts/wgate/!?~urlmime=[kode] http://[host]/scripts/wgate/!?~command=[kode] Sårbarhederne er rapporteret i version 6.1 og 6.2, men andre versioner kan også være berørte. Løsning: Opdater til version 6.20 patch 18 eller nyere. Rapporteret af / Kredit: ILION Research Labs Forløb: 03-10-2006: Tilføjede CVE-reference. 05-10-2006: Opdaterede løsningen.



Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise. Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.

1 Relaterede Secunia Advisories

1. SAP Internet Transaction Server flere sårbarheder

Send Feedback to Secunia

Hvis du har ny information angående dette Secunia advisory eller et produkt i vores database, så send det venligst til os. Du kan sende det til os enten ved at bruge vores web formular eller ved at sende det til vuln@secunia.com. Ideer, foreslag og andet feedback er også meget velkommen.

Secunia PSI
Scan | Patch | Track
Free Download

Secunia Poll

Most Popular Advisories

1.	Novell eDirectory Multiple Vulnerabilities

2.	phpJobScheduler "installed_conf ig_file" File Inclusion Vulnerabilities

3.	HP TCP/IP Services for OpenVMS Finger Format String Vulnerability

4.	phpMyRealty "price_max" SQL Injection Vulnerability

5.	dotProject SQL Injection and Cross-Site Scripting

6.	Caudium "configvar" Insecure Temporary Files

7.	Blogn Cross-Site Scripting and Cross-Site Request Forgery

8.	Adium MSN SLP Message Integer Overflow Vulnerabilities

9.	Sun Solaris Kernel Covert Channel Security Bypass

10.	Red Hat update for libtiff