关键漏洞信息 漏洞类型: XSS in Host Manager CVE编号: CVE-2007-3386 CWE编号: CWE-79 CVSS评分: 4.3/10 风险等级: 低 影响分数: 2.9/10 - 完整性影响: 部分 - 机密性影响: 无 - 可用性影响: 无 利用难度评分: 8.6/10 - 攻击复杂性: 中等 - 认证要求: 无 发现时间: 2007-08-15 贡献者: Mark Thomas 漏洞描述 厂商: Apache Software Foundation 受影响版本: - 6.0.0 to 6.0.13 - 5.5.0 to 5.5.24 描述: Host Manager Servlet在显示前未对用户提交的数据进行过滤,这使得XSS攻击得以实施。 缓解措施: - 完成管理员任务后,注销(关闭浏览器)Host Manager应用程序。 - 升级到6.0.14。 发现者: 由NTT OSS CENTER与JPCERT/CC合作发现并报告。 示例: 参考链接: - http://tomcat.apache.org/security.html