CVE-2009-3016 (CNNVD-200908-491)
中文标题:
Apple Safari 跨站脚本攻击漏洞
英文标题:
Apple Safari 4.0.3 does not properly block javascript: and data: URIs in Refresh headers in HTTP res...
漏洞描述
中文描述:
Apple Safari 4.0.3版本没有在HTTP响应中正确的拦截刷新眉首中的javascript:URIs和数据:URIs,这使得远程攻击者可以借助一些向量,执行跨站脚本攻击。这些向量涉及(1)注入一个包含javascript:URI的刷新头,(2)在详细说明刷新头的内容时,输入一个avascript:URI,(3)注入一个包含data:text/html URI中的javaScript序列的刷新头或(4)在详细说明刷新头的内容时,借助JavaScript序列输入一个data:text/html URI。
英文描述:
Apple Safari 4.0.3 does not properly block javascript: and data: URIs in Refresh headers in HTTP responses, which allows remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Refresh header that contains a javascript: URI, (2) entering a javascript: URI when specifying the content of a Refresh header, (3) injecting a Refresh header that contains JavaScript sequences in a data:text/html URI, or (4) entering a data:text/html URI with JavaScript sequences when specifying the content of a Refresh header.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| apple | safari | 4.0.3 | - | - |
cpe:2.3:a:apple:safari:4.0.3:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:M/Au:N/C:N/I:P/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2009-3016 |
2025-11-11 15:18:11 | 2025-11-11 07:33:03 |
| NVD | nvd_CVE-2009-3016 |
2025-11-11 14:53:00 | 2025-11-11 07:41:50 |
| CNNVD | cnnvd_CNNVD-200908-491 |
2025-11-11 15:09:06 | 2025-11-11 07:49:37 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 跨站脚本
- cnnvd_id: 未提取 -> CNNVD-200908-491
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 4.3
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:M/Au:N/C:N/I:P/A:N
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']