Microsoft FrontPage Server Extensions Cross-Site Scripting Vulnerability

2014-07-01T00:00:00
ID SSV:81222
Type seebug
Reporter Root
Modified 2014-07-01T00:00:00

Description

... FrontPage Server Extensions为FrontPage服务扩展,与IIS一起使用可以方便的支持管理、创建以及浏览FrontPage扩展的网站。 ... FrontPage Server Extensions对HTML页面的处理存在输入验证漏洞,远程攻击者可能在客户机器上执行任意脚本代码。 ... FrontPage Server Extensions的fpadmdll.dll中的一些参数没有正确的过滤返回给用户的特定输入,导致跨站脚本问题,可能允许攻击者以当前会话权限以客户机的浏览器中执行恶意脚本代码,利用这个漏洞必须用户交互。 ... fpadmdll.dll中有漏洞的参数是operation、command和name。这些参数没有经过正确的过滤便出现在了输出中,但可通过"-->"转义。