关键漏洞信息 漏洞概述 发布日期: 2012/05/15 更新日期: 2012/05/15 漏洞编号: JVN#63941302 标题: WEB MART from KENT-WEB vulnerable to cross-site scripting 影响产品 WEB MART Ver.1.7及更早版本 描述 WEB MART是KENT-WEB提供的用于创建购物网站的系统。当使用Microsoft IE的CSS表达式时,WEB MART存在漏洞,可能导致跨站点脚本攻击。 影响 任意脚本可能在用户的Web浏览器中执行。 解决方案 更新软件: 根据开发人员提供的信息更新到最新版本。 厂商状态 Vendor: WebCreate Ltd Link: WEB MART (Japanese only)) 参考资料 1. Microsoft - IEBlog - Ending Expressions 漏洞分析(JPCERT/CC) 访问要求: 高 - 可通过互联网使用数据包进行攻击 认证: 高 - 匿名或不需要认证(IP地址不计入) 用户交互要求: 中 - 用户需被诱导采取普通操作(如点击链接或查看文件) 利用复杂性: 高 - 用户需被诱导进行复杂或可疑操作。如果用户有提升的权限,更可能变得戒备。 发现人 Isayama Takayoshi from Mitsui Bussan Secure Directions, Inc. 报告了此漏洞给JPCERT/CC协调。 其他信息 CVE: CVE-2012-1247 JVNDB: JVNDL-2012-000042