Adobe Flex SDK3.0.2至4.5.1版本以及Adobe FlashBuilder4.5存在低危安全漏洞,允许远程攻击者进行跨站脚本攻击。受影响系统包括Adobe FlexSDK和FlashBuilder的不同版本,不受影响系统为Adobe FlashBuilder4.6。攻击者需访问Adobe Flex应用,可能导致敏感信息泄露或用户会话劫持。
Bugtraq ID: 50869
CVE ID:CVE-2011-2461
CNCVE ID:CNCVE-20112461
漏洞发布时间:2011-12-01
漏洞更新时间:2011-12-01
漏洞起因
输入验证错误
危险等级
低
影响系统
Adobe Flex SDK 3.0.2
Adobe Flex SDK 3.0.1
Adobe Flex SDK 4.5.1
Adobe Flex SDK 4.5
Adobe Flex SDK 4.1
Adobe Flex SDK 4.0
Adobe Flex SDK 3.6
Adobe Flex SDK 3.5
Adobe Flex SDK 3.4
Adobe Flex SDK 3.3
Adobe Flash Builder 4.5
不受影响系统
Adobe Flash Builder 4.6
危害
远程攻击者利用漏洞敏感信息或劫持用户会话。
攻击所需条件
攻击者必须访问Adobe Flex应用。
漏洞信息
Adobe Flex 4.5是用于构建和维护在所有主要浏览器、桌面和操作系统一致地部署的极具表现力的Web应用程序的高效率的开放源码框架。
Windows, Macintosh和Linux操作系统上的Adobe Flex SDK 4.5.1和早期的4.x版本和3.x版本存在一个安全漏洞,允许攻击者进行跨站脚本攻击。
部分传递给使用Framework开发的SWF文件的输入在返回用户之前缺少过滤,可被留意哦那个在用户浏览器上执行任意HTML和脚本代码。攻击者可以利用此漏洞获得敏感信息或劫持用户会话。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.adobe.com/support/security/bulletins/apsb11-25.html
漏洞提供者
Adobe
漏洞消息链接
http://secunia.com/advisories/47053/
漏洞消息标题
Adobe Flex Cross-Site Scripting Vulnerability
文章来源:
http://www.venustech.com.cn/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
