Microsoft IE FTP发现跨站命令注入漏洞
2008-04-24   绿盟科技

发布日期：2008-03-11

更新日期：2008-03-13

受影响系统：

Microsoft Internet Explorer 6.0.2900.2180

Microsoft Internet Explorer 5.01

不受影响系统：

Microsoft Internet Explorer 7.0

描述：

BUGTRAQ ID: 28208

Internet Explorer是微软发布的非常流行的WEB浏览器。

如果用户访问了包含有恶意FTP URL的网页的话，Internet Explorer 5和6解码可能无法正确地过滤URL，强制Internet Explorer通过在HTML元素所提供的URL中每条命令后注入URL编码的CRLF对连接起FTP命令。