BUGTRAQ ID: 36086,36088
CVE(CAN) ID: CVE-2009-2704,CVE-2009-2705
CA SiteMinder是一个集中的Web访问管理系统,允许对Web应用和门户执行用户认证、单点登录、认证管理等功能。
SiteMinder没有正确地过滤用户在GET请求中所提交的参数。如果远程攻击者在提交的请求中包含有%00(编码的空字节)或非规范的超长Unicode的话,就可以绕过对J2EE应用的跨站脚本保护措施。
Computer Associates SiteMinder
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.example.com/app/function?foo=bar%e0%80%bc
http://www.example.com/app/function?foo=bar%00<script>alert(document.cookie)</script>