CVE-2009-0239 (CNNVD-200906-140)
中文标题:
Microsoft Windows Search脚本注入漏洞
英文标题:
Cross-site scripting (XSS) vulnerability in Windows Search 4.0 for Microsoft Windows XP SP2 and SP3 ...
漏洞描述
中文描述:
Windows Search允许即时搜索大多数公共文件和数据类型,例如电子邮件、联系人、日历约会、文档、照片、多媒体和由第三方扩展的其他格式 。 Windows Search通过嵌入式的浏览器向用户预览搜索结果。为了支持非HTML/XML文件,Windows Search会将这类文件转换为HTML,但转换器在转义字符的时候没有执行任何过滤便将文件加载到了内嵌的浏览器中。根据嵌入式浏览器的安全设置,上述本地HTML文件无需用户同意便拥有部分JavaScript执行权限 。尽管由于安全限制无法自动初始化XMLHTTP的ActiveX实现(如新的ActiveXObject("Msxml2.XMLHTTP")…),但可不受限的初始化和使用XMLHttpRequest JS对象(新的XMLHttpRequest()…)。更严重的是在这种环境中XMLHttpRequest对象可以与任何域交互,如果存在的话还会发送用户的持续性Cookie,也就是说攻击者可以利用这个漏洞扮演为站点上已认证的用户。
英文描述:
Cross-site scripting (XSS) vulnerability in Windows Search 4.0 for Microsoft Windows XP SP2 and SP3 and Server 2003 SP2 allows user-assisted remote attackers to inject arbitrary web script or HTML via a crafted file that appears in a preview in a search result, aka "Script Execution in Windows Search Vulnerability."
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| microsoft | windows_search | 4.0 | - | - |
cpe:2.3:a:microsoft:windows_search:4.0:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:M/Au:N/C:N/I:P/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2009-0239 |
2025-11-11 15:18:08 | 2025-11-11 07:32:59 |
| NVD | nvd_CVE-2009-0239 |
2025-11-11 14:52:59 | 2025-11-11 07:41:46 |
| CNNVD | cnnvd_CNNVD-200906-140 |
2025-11-11 15:09:05 | 2025-11-11 07:49:36 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 跨站脚本
- cnnvd_id: 未提取 -> CNNVD-200906-140
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 4.3
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:M/Au:N/C:N/I:P/A:N
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']