Apache Tomcat JSP示例Web应用跨站脚本执行漏洞

基本信息

漏洞ID：1113142
漏洞类型：其他
发布日期：2007-06-14
更新时间：2015-03-19
CVE编号： CVE-2007-2449
CNNVD-ID：CNNVD-200706-247
漏洞平台：JSP
CVSS评分：4.3

漏洞来源

<a href="https://www.exploit-db.com/exploits/30189" target="_blank">https://www.exploit-db.com/exploits/30189</a><br/> <a href="https://www.securityfocus.com/bid/24476" target="_blank">https://www.securityfocus.com/bid/24476</a><br/> <a href="https://cxsecurity.com/issue/WLB-2007060065" target="_blank">https://cxsecurity.com/issue/WLB-2007060065</a><br/> <a href="http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200706-247" target="_blank">http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200706-247</a><br/>

漏洞详情

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。 Apache Tomcat的示例Web应用程序中的某些JSP文件没有转义某些用户输入，允许远程攻击者通过包含有；字符的特制URI请求执行跨站脚本攻击，向用户浏览器会话注入并执行任意Web脚本或HTML代码。

参考资料

来源:tomcat.apache.org
链接:http://tomcat.apache.org/security-6.html
来源:BUGTRAQ
名称:20090127CA20090123-01:CohesionTomcatMultipleVulnerabilities(Updated-v1.1)
链接:http://www.securityfocus.com/archive/1/archive/1/500412/100/0/threaded
来源:BUGTRAQ
名称:20090124CA20090123-01:CohesionTomcatMultipleVulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/500396/100/0/threaded
来源:BUGTRAQ
名称:20070614[CVE-2007-2449]ApacheTomcatXSSvulnerabilitiesintheJSPexamples
链接:http://www.securityfocus.com/archive/1/archive/1/471351/100/0/threaded
来源:VUPEN
名称:ADV-2009-0233
链接:http://www.frsirt.com/english/advisories/2009/0233
来源:support.ca.com
链接:http://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=197540
来源:SECUNIA
名称:33668
链接:http://secunia.com/advisories/33668
来源:SECUNIA
名称:31493
链接:http://secunia.com/advisories/31493
来源:REDHAT
名称:RHSA-2008:0630
链接:http://rhn.redhat.com/errata/RHSA-2008-0630.html
来源:SUSE
名称:SUSE-SR:2009:004
链接:http://lists.opensuse.org/opensuse-security-announce/2009-02/m