Citrix NetScaler Generic_API_Call.PL跨站脚本漏洞

2007-11-20T00:00:00
ID SSV:2465
Type seebug
Reporter Root
Modified 2007-11-20T00:00:00

Description

Citrix NetScaler是一款安全易用的Web应用交付解决方案。 Citrix NetScaler Generic_API_Call.PL不正确过滤用户提交的URI数据,远程攻击者可以利用漏洞进行跨站脚本攻击,获得目标用户敏感信息。 问题是由于'Generic_API_Call.PL'脚本对用户提交的'standalone'参数缺少过滤,提交恶意脚本代码作为参数数据,并诱使用户处理,可导致获得目标用户敏感信息,或未授权访问应用程序。

Citrix NetScaler 8.0 build 47.8

目前没有详细解决方案提供: <a href="http://www.citrix.com/English/ps2/products/product.asp?contentID=21679" target="_blank">http://www.citrix.com/English/ps2/products/product.asp?contentID=21679</a>

                                        
                                            
                                                http://(target)/ws/generic_api_call.pl?function=statns&amp;standalone=%3c/sc
ript%3e%3cscript%3ealert(document.cookie)%3c/script%3e%3cscript%3e