漏洞标题
N/A
漏洞描述信息
Getahead直接网页重定向(DWR)框架1.1.4 使用 JavaScript 对象表示法(JSON)交换数据,无需相关的保护方案,这允许远程攻击者通过一个网页,该网页通过脚本元素SRC属性中的URL获取数据,并使用其他 JavaScript 代码捕获数据,也被称为“JavaScript窃取”。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Getahead Direct Web Remoting (DWR) framework 1.1.4 exchanges data using JavaScript Object Notation (JSON) without an associated protection scheme, which allows remote attackers to obtain the data via a web page that retrieves the data through a URL in the SRC attribute of a SCRIPT element and captures the data using other JavaScript code, aka "JavaScript Hijacking."
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Getahead Direct Web Remoting (DWR)架构JSON JavaScript劫持信息泄露漏洞
漏洞描述信息
Getahead Direct Web Remoting (DWR)架构在没有开启保护机制的情况下,使用JavaScript Object Notation (JSON)来交换数据,存在敏感信息泄露漏洞。远程攻击者可以借助网页来获得数据。该网页可以通过SCRIPT元素的SRC属性中的URL来恢复数据,并且可以通过使用其他JavaScript代码,记录数据。又称"JavaScript劫持"。
CVSS信息
N/A
漏洞类别
授权问题