CVE-2006-4660 (CNNVD-200609-098)
中文标题:
ICQ Toolbar 1.3 for IE 多个跨站脚本攻击漏洞
英文标题:
Multiple cross-site scripting (XSS) vulnerabilities in the RSS Feed module in AOL ICQ Toolbar 1.3 fo...
漏洞描述
中文描述:
ICQ Toolbar是一个可安装于IE的工具栏,通过HTML页面提供基于web的配置界面。 ICQ Toolbar没有验证所加载Web页面的位置或来源,因此可以从本地系统或在线配置工具栏。这允许攻击者轻易的拷贝本地保存的options2.html文件的内容并做为html文件上传到任意站点。 每个复选框控件关联到配置设置的方法仅仅是将每个HTML复选框标签的ID属性匹配到期望配置ID的列表。这允许攻击者更改复选框控件的外部表现以掩饰攻击。只要ID属性匹配了相关的配置设置,攻击者就可以向用户浏览器中呈现任意HTML。上述两个漏洞都允许攻击者读取并更改ICQ工具栏配置。 标准RSS feed XML文档中item元素的标题和描述字段存在跨站脚本漏洞。应用程序没有执行任何过滤或编码便直接将上述两个字段的内容附加到了HTML输出,这允许攻击者注入Javascript代码并在用户浏览器中执行。
英文描述:
Multiple cross-site scripting (XSS) vulnerabilities in the RSS Feed module in AOL ICQ Toolbar 1.3 for Internet Explorer (toolbaru.dll) allow remote attackers to process arbitrary web script or HTML in the Feeds interface context via the (1) title and (2) description elements within an item element in an RSS feed.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| icq_inc | icq_toolbar | 1.3_for_internet_explorer | - | - |
cpe:2.3:a:icq_inc:icq_toolbar:1.3_for_internet_explorer:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
CVSS评分详情
AV:N/AC:M/Au:N/C:P/I:P/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2006-4660 |
2025-11-11 15:17:45 | 2025-11-11 07:32:37 |
| NVD | nvd_CVE-2006-4660 |
2025-11-11 14:51:51 | 2025-11-11 07:41:22 |
| CNNVD | cnnvd_CNNVD-200609-098 |
2025-11-11 15:08:52 | 2025-11-11 07:49:10 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 跨站脚本
- cnnvd_id: 未提取 -> CNNVD-200609-098
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 5.8
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:M/Au:N/C:P/I:P/A:N
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']