Vulnerabilidad en WebKit en Apple Safari (CVE-2009-1697)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
10/06/2009
Última modificación:
09/04/2025
Descripción
Vulnerabilidad de inyección CRLF (se refiere a CR (retorno de carro) y LF (salto de línea)) en WebKit en Apple Safari anterior a v4.0. Permite a atacantes remotos inyectar cabeceras HTTP y saltarse la política "Same Origin" a través de un documento HTML manipulado, relativo a ataques de secuencias de comandos en sitios cruzados (XSS) que dependen de la comunicación con sitios Web arbitrarios dentro del mismo servidor Web, mediante el uso de XMLHttpRequest sin la cabecera Host.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apple:safari:*:*:mac:*:*:*:*:* | 4.0_beta (incluyendo) | |
| cpe:2.3:a:apple:safari:0.8:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:0.9:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:1.0:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:1.0.3:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:1.1:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:1.2:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:1.3:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:1.3.1:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:1.3.2:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:2.0:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:2.0.2:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:2.0.4:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:3.0:*:mac:*:*:*:*:* | ||
| cpe:2.3:a:apple:safari:3.0.2:-:mac:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.apple.com/archives/security-announce/2009/Jun/msg00005.html
- http://lists.apple.com/archives/security-announce/2009/jun/msg00002.html
- http://lists.opensuse.org/opensuse-security-announce/2011-01/msg00006.html
- http://osvdb.org/54992
- http://secunia.com/advisories/35379
- http://secunia.com/advisories/37746
- http://secunia.com/advisories/43068
- http://securitytracker.com/id?1022344=
- http://support.apple.com/kb/HT3613
- http://support.apple.com/kb/HT3639
- http://www.debian.org/security/2009/dsa-1950
- http://www.securityfocus.com/bid/35260
- http://www.vupen.com/english/advisories/2009/1522
- http://www.vupen.com/english/advisories/2009/1621
- http://www.vupen.com/english/advisories/2011/0212
- http://lists.apple.com/archives/security-announce/2009/Jun/msg00005.html
- http://lists.apple.com/archives/security-announce/2009/jun/msg00002.html
- http://lists.opensuse.org/opensuse-security-announce/2011-01/msg00006.html
- http://osvdb.org/54992
- http://secunia.com/advisories/35379
- http://secunia.com/advisories/37746
- http://secunia.com/advisories/43068
- http://securitytracker.com/id?1022344=
- http://support.apple.com/kb/HT3613
- http://support.apple.com/kb/HT3639
- http://www.debian.org/security/2009/dsa-1950
- http://www.securityfocus.com/bid/35260
- http://www.vupen.com/english/advisories/2009/1522
- http://www.vupen.com/english/advisories/2009/1621
- http://www.vupen.com/english/advisories/2011/0212