N/A

The Prototype (prototypejs) framework before 1.5.1 RC3 exchanges data using JavaScript Object Notation (JSON) without an associated protection scheme, which allows remote attackers to obtain the data via a web page that retrieves the data through a URL in the SRC attribute of a SCRIPT element and captures the data using other JavaScript code, aka "JavaScript Hijacking."

N/A

N/A

Prototype架构JSON JavaScript劫持信息泄露漏洞

Prototype (prototypejs)架构在没有开启保护机制的情况下，使用JavaScript Object Notation (JSON)来交换数据，存在敏感信息泄露漏洞。远程攻击者可以借助网页来获得数据。该网页可以通过SCRIPT元素的SRC属性中的URL来恢复数据，并且可以通过使用其他JavaScript代码，记录数据。又称"JavaScript劫持"。

N/A

N/A