Microsoft Lync Server 2010 reachLocale 参数 XSS

medium Nessus 插件 ID 68880

简介

远程主机上的 Web 应用程序存在跨站脚本漏洞。

描述

根据其自我报告的版本号,Web Components Server(Microsoft Lync 2010 的组件)版本存在一个跨站脚本漏洞。传递到 ReachJoin.aspx 的“reachLocale”参数的输入未得到正确审查。攻击者可利用此漏洞诱骗用户请求特别构建的 URL,从而导致执行任意脚本代码。

解决方案

安装 Lync Server 2010、Web Components Server 2011 年 4 月更新 (KB2500441) 或更高版本。

另见

http://foofus.net/?p=363

http://foofus.net/?page_id=372

https://support.microsoft.com/en-us/help/2500441/description-of-the-update-package-for-lync-server-2010-web-components

插件详情

严重性: Medium

ID: 68880

文件名: microsoft_lync_server_april_2011.nasl

版本: 1.8

类型: local

代理: windows

系列: Windows

发布时间: 2013/7/14

最近更新时间: 2021/6/3

支持的传感器: Nessus Agent, Nessus

漏洞信息

CPE: cpe:/a:microsoft:lync_server:2010

必需的 KB 项: installed_sw/Microsft Lync

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/6/10

漏洞发布日期: 2011/6/10

参考资料信息

BID: 48235

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990

IAVB: 2011-B-0074-S