漏洞标题
N/A
漏洞描述信息
在(1)IBM HTTP Server 6.0 之前版本在 6.0.2.13 之前和 6.1 之前版本在 6.1.0.1 之前,以及(2)Apache HTTP Server 1.3 之前版本在 1.3.35 之前、2.0 之前版本在 2.0.58 之前和 2.2 之前版本在 2.2.2 之前,在将 HTTP 请求的 Expect 头返回到错误消息时,未对其进行sanitize。这可能导致使用可以发送任意头信息的 web 客户端组件进行跨站脚本(XSS)攻击,正如使用 Flash SWF 文件所示。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
http_protocol.c in (1) IBM HTTP Server 6.0 before 6.0.2.13 and 6.1 before 6.1.0.1, and (2) Apache HTTP Server 1.3 before 1.3.35, 2.0 before 2.0.58, and 2.2 before 2.2.2, does not sanitize the Expect header from an HTTP request when it is reflected back in an error message, which might allow cross-site scripting (XSS) style attacks using web client components that can send arbitrary headers in requests, as demonstrated using a Flash SWF file.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache HTTP Server任意HTTP请求标头跨站脚本(XSS)式攻击漏洞
漏洞描述信息
(1) IBM HTTP Server 6.0.2.13 之前的6.0版本和6.1.0.1之前的6.1 版本, 以及 (2) Apache HTTP Server 1.3.35之前的1.3版本, 2.0.58之前的2.0版本, 以及2.2.2之前的 2.2 版本中的http_protocol.c在, 出错信息中反映HTTP请求时,未从中清理Expect 标头,攻击者可能会利用可在请求中发送任意标头的web客户端组件进行跨站脚本(XSS)式攻击,比如使用Flash SWF文件。
CVSS信息
N/A
漏洞类别
跨站脚本