Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Sage Divulgation de Chemin et Cross-Site Scripting

21/01/2007 01H53
Référence Secunia : SA8111  
Date de publication : 2003-02-21

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition d'informations systèmes, Cross Site Scripting
Lieu : A distance


Solutions :
Non corrigée


Produit :
Sage 1.x

Description :
Deux erreurs de validation d'entrée ont été identifiées dans Sage.

La première est causée car les données passées à "$mod" ne sont pas validées. Cela pourrait être exploité pour divulguer le chemin d'installation en fournissant un nom de module non-existant ou pour monter une attaque XSS (Cross-Site Scripting) contre un utilisateur en insérant du code de script malicieux.

L'entrée utilisateur à "$nid" n'est pas validatée, ce qui pourrait également être exploitée pour divulguer le chemin d'installation dans un message d'erreur "Access Denied" en fournissant des données arbitraires.


Solutions :
Editez le code source pour que l'entrée utilisateur soit vérifiée.


Vulnérabilité découverte par :

euronymous /f0kp /r00tc0de




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.