Podatność CVE-2007-4901


Publikacja: 2007-09-14   Modyfikacja: 2012-02-12

Opis:
The embedded Internet Explorer server control in AOL Instant Messenger (AIM) 6.1.41.2 and 6.2.32.1, AIM Pro, and AIM Lite does not properly constrain the use of mshtml.dll's web script and HTML functionality for incoming instant messages, which allows remote attackers to place HTML into unexpected contexts or execute arbitrary code, as demonstrated by writing arbitrary HTML to a notification window, and writing contents of arbitrary local image files to this window via IMG SRC.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Low
AIM Arbitrary HTML Display in Notification Window
shell
17.09.2007

Typ:

CWE-noinfo

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5.8/10
4.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Brak
Affected software
AOL -> Aim lite 
AOL -> Aim pro 
AOL -> Instant messenger 

 Referencje:
http://aviv.raffon.net/2007/09/25/ReadyAIMFire.aspx
http://securityreason.com/securityalert/3136
http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1924
http://www.securityfocus.com/archive/1/479199/100/0/threaded
http://www.securityfocus.com/archive/1/479435/100/0/threaded
http://www.securityfocus.com/archive/1/480587/100/0/threaded
http://www.securityfocus.com/archive/1/480647/100/0/threaded
http://www.securityfocus.com/bid/25659

Copyright 2020, cxsecurity.com

 

Back to Top