WS_FTP是一个Winsock协议下标准的FTP客户端工具。
WS_FTP处理日志中可能出现的HTML代码时存在漏洞,远程攻击者可能利用此漏洞执行跨站脚本攻击。
WS_FTP服务器记录客户端FTP命令时存在跨站脚本漏洞。如果客户端的FTP命令无效(error)的话,服务器就会将特殊的字符转换成HTML字符(< = &lt;, > = &gt;)并记录,但如果FTP命令有效的话就不会执行任何过滤检查,因此可能向日志文件中注入HTML和Javascript。WS_FTP管理界面中有一个查看日志选项,在查看日志时就可以利用上述漏洞窃取管理员cookie,或直接创建FTP服务器的新用户帐号。
Ipswitch WS_FTP Server 6
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href="http://www.ipswitch.com/" target="_blank">http://www.ipswitch.com/</a>
暂无评论