VULHUB ™

带有Ultramode的Maxthon Browser 3.0.0.145 Alpha没有在HTTP响应中正确的拦截刷新眉首中的javascript：URIs和数据：URIs，这使得远程攻击者可以借助一些向量，执行跨站脚本攻击。这些向量涉及(1)注入一个包含data：text/html URI中的JavaScript序列的刷新头或(2)在详细说明刷新头的内容时，借助JavaScript序列输入一个data：text/html URI，或(3)注入一个包含data：text/html URI中的JavaScript序列的刷新头，或(4)在详细说明刷新头的内容时，借助JavaScript序列输入一个data：text/html URI；它没有适当地阻挡HTTP响应中的定位头的data： URIs，这会允许用户协助式远程攻击者借助一些向量，执行跨站脚本攻击。这些向量涉及：(5)注入一个包含data：text/html URI中的JavaScript序列的刷新头或(6)在详细说明刷新头的内容时，借助JavaScript序列输入一个data：text/html URI；它没有适当地处理从web服务器发送过来的(a)301和(b)302错误文档中的HTML链接内的javascript： URIs，这会允许用户协助式远程攻击者可以借助与(7)注入一个Location HTTP响应头(8)详细说明一个Location HTTP响应头的内容相关的向量，执行跨站脚本攻击。

带有Ultramode的Maxthon Browser 3.0.0.145 Alpha没有在HTTP响应中正确的拦截刷新眉首中的javascript：URIs和数据：URIs，这使得远程攻击者可以借助一些向量，执行跨站脚本攻击。这些向量涉及(1)注入一个包含data：text/html URI中的JavaScript序列的刷新头或(2)在详细说明刷新头的内容时，借助JavaScript序列输入一个data：text/html URI，或(3)注入一个包含data：text/html URI中的JavaScript序列的刷新头，或(4)在详细说明刷新头的内容时，借助JavaScript序列输入一个data：text/html URI；它没有适当地阻挡HTTP响应中的定位头的data： URIs，这会允许用户协助式远程攻击者借助一些向量，执行跨站脚本攻击。这些向量涉及：(5)注入一个包含data：text/html URI中的JavaScript序列的刷新头或(6)在详细说明刷新头的内容时，借助JavaScript序列输入一个data：text/html URI；它没有适当地处理从web服务器发送过来的(a)301和(b)302错误文档中的HTML链接内的javascript： URIs，这会允许用户协助式远程攻击者可以借助与(7)注入一个Location HTTP响应头(8)详细说明一个Location HTTP响应头的内容相关的向量，执行跨站脚本攻击。