CVE-2003-0116 (CNNVD-200305-018)

MEDIUM
中文标题:
Microsoft Internet Explorer 安全漏洞
英文标题:
Microsoft Internet Explorer 5.01, 5.5 and 6.0 does not properly check the Cascading Style Sheet inpu...
CVSS分数: 5.0
发布时间: 2003-04-26 04:00:00
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Microsoft Internet Explorer(IE)是美国微软(Microsoft)公司的一款Windows操作系统附带的Web浏览器。 Microsoft Internet Explorer存在安全漏洞。MSIE对对话窗口格式(dialog style)参数缺少正确检查,远程攻击者可以利用这个漏洞构建恶意WEB页面,诱使用户点击,绕过安全区域检查,导致敏感信息泄露,或者脚本以在安全区域中执行。MSIE包含通过脚本调用showModalDialog和showModelessDialog函数支持对话窗口,这些函数接收URL定位作为对话内容,和一选项参数允许数据从调用页面传递给对话窗口。另外,各种格式可以从调用页面中应用到对话框中。MSIE存在安全检查以确保从调用页面传递给对话框的数据是来自同一域,这就可以防止第三方插入任意内容到任意对话框。但是,如果脚本代码插入对话框格式参数中,MSIE就没有对此进行正确检查。因此攻击者可以利用这个漏洞构建恶意WEB页面,诱使用户点击,导致恶意内容插入到敏感对话框中,可以使恶意脚本在敏感安全区域如本地电脑安全区域中执行。

英文描述:

Microsoft Internet Explorer 5.01, 5.5 and 6.0 does not properly check the Cascading Style Sheet input parameter for Modal dialogs, which allows remote attackers to read files on the local system via a web page containing script that creates a dialog and then accesses the target files, aka "Modal Dialog script execution."

CWE类型:
(暂无数据)
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
microsoft ie 6.0 - - cpe:2.3:a:microsoft:ie:6.0:sp1:*:*:*:*:*:*
microsoft internet_explorer 5.0.1 - - cpe:2.3:a:microsoft:internet_explorer:5.0.1:*:*:*:*:*:*:*
microsoft internet_explorer 5.5 - - cpe:2.3:a:microsoft:internet_explorer:5.5:*:*:*:*:*:*:*
microsoft internet_explorer 6.0 - - cpe:2.3:a:microsoft:internet_explorer:6.0:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
20021203 Poisonous Style for Dialog window turns the zone off. mailing-list
cve.org
访问
VU#244729 third-party-advisory
cve.org
访问
MS03-015 vendor-advisory
cve.org
访问
6306 vdb-entry
cve.org
访问
CVSS评分详情
5.0
MEDIUM
CVSS向量: AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS版本: 2.0
机密性
PARTIAL
完整性
NONE
可用性
NONE
时间信息
发布时间:
2003-04-26 04:00:00
修改时间:
2024-08-08 01:43:35
创建时间:
2025-11-11 15:32:18
更新时间:
2025-11-11 15:48:51
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2003-0116 2025-11-11 15:17:26 2025-11-11 07:32:18
NVD nvd_CVE-2003-0116 2025-11-11 14:50:37 2025-11-11 07:41:05
CNNVD cnnvd_CNNVD-200305-018 2025-11-11 15:08:42 2025-11-11 07:48:51
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:48:51
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-200305-018; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-200305-018
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:41:05
cvss_score: 未提取 → 5.0; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:P/I:N/A:N; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 4; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • cvss_score: 未提取 -> 5.0
  • cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:N/A:N
  • cvss_version: NOT_EXTRACTED -> 2.0
  • affected_products_count: 0 -> 4
  • data_sources: ['cve'] -> ['cve', 'nvd']