Adobe Flex SDK CVE-2011-2461跨站脚本漏洞

Bugtraq ID: 50869

CVE ID：CVE-2011-2461

CNCVE ID：CNCVE-20112461

漏洞发布时间:2011-12-01

漏洞更新时间:2011-12-01

漏洞起因

输入验证错误

危险等级

低

影响系统

Adobe Flex SDK 3.0.2

Adobe Flex SDK 3.0.1

Adobe Flex SDK 4.5.1

Adobe Flex SDK 4.5

Adobe Flex SDK 4.1

Adobe Flex SDK 4.0

Adobe Flex SDK 3.6

Adobe Flex SDK 3.5

Adobe Flex SDK 3.4

Adobe Flex SDK 3.3

Adobe Flash Builder 4.5

不受影响系统

Adobe Flash Builder 4.6

危害

远程攻击者利用漏洞敏感信息或劫持用户会话。

攻击所需条件

攻击者必须访问Adobe Flex应用。

漏洞信息

Adobe Flex 4.5是用于构建和维护在所有主要浏览器、桌面和操作系统一致地部署的极具表现力的Web应用程序的高效率的开放源码框架。

Windows, Macintosh和Linux操作系统上的Adobe Flex SDK 4.5.1和早期的4.x版本和3.x版本存在一个安全漏洞，允许攻击者进行跨站脚本攻击。

部分传递给使用Framework开发的SWF文件的输入在返回用户之前缺少过滤，可被留意哦那个在用户浏览器上执行任意HTML和脚本代码。攻击者可以利用此漏洞获得敏感信息或劫持用户会话。

测试方法

厂商解决方案

用户可参考如下供应商提供的安全公告获得补丁信息：

http://www.adobe.com/support/security/bulletins/apsb11-25.html

漏洞提供者

Adobe

漏洞消息链接

http://secunia.com/advisories/47053/

漏洞消息标题

Adobe Flex Cross-Site Scripting Vulnerability

文章来源：http://www.venustech.com.cn/