CVE-2002-1157 (CNNVD-200211-004)
中文标题:
Mod_SSL Wildcard DNS跨站脚本执行漏洞
英文标题:
Cross-site scripting vulnerability in the mod_ssl Apache module 2.8.9 and earlier, when UseCanonical...
漏洞描述
中文描述:
Mod_SSL是Apache服务器上的SSL实现,用来为Apache Web服务器提供加密支持。 Apache使用mod_ssl模块时会返回没有过滤的服务器名,远程攻击者可以利用这个漏洞构建恶意WEB页,诱使用户点击,进行跨站脚本执行攻击。 当服务器使用"UseCanonicalName off"(默认情况下不是默认设置)和统配DNS结合的配置时,就可以导致这个跨站脚本执行攻击漏洞。如果这个设置为off的情况下,Apache就会使用Hostname:port应答HTTP请求,不过在返回的时候没有对hostname数据进行正确的过滤。如果这个设置为on的情况下,Apache就构建自引用URL和使用ServerName:port形式进行应答。 攻击者可以通过构建包含主机名为任意HTML和脚本代码的链接,诱使目标用户点击链接,就可以导致攻击者提供的脚本代码在客户端浏览器上执行,可窃取基于Cookie认证的信息,也可能获得本地文件内容。
英文描述:
Cross-site scripting vulnerability in the mod_ssl Apache module 2.8.9 and earlier, when UseCanonicalName is off and wildcard DNS is enabled, allows remote attackers to execute script as other web site visitors, via the server name in an HTTPS response on the SSL port, which is used in a self-referencing URL, a different vulnerability than CAN-2002-0840.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| mod_ssl | mod_ssl | * | - | - |
cpe:2.3:a:mod_ssl:mod_ssl:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
cve.org
CVSS评分详情
AV:N/AC:L/Au:N/C:P/I:P/A:P
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2002-1157 |
2025-11-11 15:17:24 | 2025-11-11 07:32:16 |
| NVD | nvd_CVE-2002-1157 |
2025-11-11 14:50:28 | 2025-11-11 07:41:03 |
| CNNVD | cnnvd_CNNVD-200211-004 |
2025-11-11 15:08:41 | 2025-11-11 07:48:49 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200211-004
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
- cvss_score: 未提取 -> 7.5
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']