Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

XOOPS MyTextSanitizer : Cross-Site Scripting

21/01/2007 07H49
Référence Secunia : SA8672 
Date de publication : 2003-04-28

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Xoops 1.3.x
Xoops 2.x

Description :
Une vulnérabilité a été identifiée dans XOOPS, qui pourrait être exploitée par des utilisateurs malicieux pour conduire des attaques Cross-Site Scripting against autres utilisateurs.

La vulnérabilité est causée du fait d'une erreur de validation d'entrée dans "MyTextSanitizer". Un utilisateur malicieux peut injecter du code de script dans an IMG tag, qui va exécuter du code de script arbitraire dans une session de navigation d'un utilisateur quand affiché.

L'exploitation de ce problème provoque divulgation de diverses informations (ex: l'authentification basée sur informations de cookie) associés avec le site où tourne XOOPS ou inclusion du contenu malicieux, qui l'utilisateur pense est une partie du site web réel.


Solutions :
Mettre à jour en version 2.0.2:
http://www.xoops.org/modules/news/article.php?storyid=772


Vulnérabilité découverte par :

Doxical et Magistrat.

Référence :
Français:
http://www.blocus-zone.com/modules/news/article.php?storyid=439




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.