受影响系统:
Microsoft Microsoft SharePoint Team Services
Microsoft FrontPage Server Extensions 2002
- Microsoft Windows XP SP2
- Microsoft Windows XP SP1
- Microsoft Windows Server 2003 SP1
- Microsoft Windows Server 2003
- Microsoft Windows 2000 SP4
描述:
BUGTRAQ ID: 17452
CVE(CAN) ID: CVE-2006-0015
FrontPage Server Extensions为FrontPage服务扩展,与IIS一起使用可以方便的支持管理、创建以及浏览FrontPage扩展的网站。
FrontPage Server Extensions对HTML页面的处理存在输入验证漏洞,远程攻击者可能在客户机器上执行任意脚本代码。
FrontPage Server Extensions没有正确的过滤返回给用户的特定输入,导致跨站脚本问题,可能允许攻击者以当前会话权限以客户机的浏览器中执行恶意脚本代码,利用这个漏洞必须用户交互。
<*来源:Esteban Martínez Fayó (secemf@gmail.com)
链接:http://secunia.com/advisories/19623/print/
http://www.microsoft.com/technethttp://security.chinaitlab.com/Bulletin/MS06-017.mspx?pf=true
*>
建议:
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS06-017)以及相应补丁:
MS06-017:Vulnerability in Microsoft FrontPage Server Extensions Could Allow Cross-Site Scripting (917627)
链接:http://www.microsoft.com/technethttp://security.chinaitlab.com/Bulletin/MS06-017.mspx?pf=true