Vulnerabilidad en Apple Safari (CVE-2009-3016)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
31/08/2009
Última modificación:
09/04/2025
Descripción
Apple Safari v4.0.3 no bloquea URIs JavaScript: ni data: de forma adecuada en las cabeceras Refresh en las respuestas HTTP, lo que permite a atacantes remotos realizar un ataque de ejecución de secuencias de comandos en sitios cruzados (XSS) a través de vectores relativos a (1) inyectando una cabecera Refresh que contiene una URI javascript:, (2) introduciendo una URI javascript: cuando se especifica el contenido de una cabecera Refresh, (3) inyectando a una cabecera Refresh que contiene secuencias javascript en una URI data:text/html, o (4) introduciendo una URI data:text/html con secuencias javascript cuando se especifica el contenido de una cabecera Refresh.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apple:safari:4.0.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://websecurity.com.ua/3386/
- https://exchange.xforce.ibmcloud.com/vulnerabilities/52992
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6475
- http://websecurity.com.ua/3386/
- https://exchange.xforce.ibmcloud.com/vulnerabilities/52992
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6475