Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

RSA ACE/Agent Cross Site Scripting

21/01/2007 13H03
Référence Secunia : SA9072 
Date de publication : 2003-06-19

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
RSA ACE/Agent 5.x

Référence CVE :
CVE-2003-0389


Description :
Une vulnérabilité a été identifiée dans RSA ACE/Agent permettant à des personnes malicieuses d'injecter arbitrary HTML ou client side scripting.

Le problème est que le redirect function doesn't validate input proprement, qui permet une URL à contenir des caractères malicieux. Cela pourrait être exploité pour créer a false login page.


Solutions :
La version RSA ACE/Agent 5.0.1 pour Windows n'est pas vulnérable:
ftp.rsasecurity.com/support/Patches/Ace/Agent/5.0.1_Agent/Win_Agent501.zip
La version RSA ACE/Agent 5.1.1 pour Web n'est pas vulnérable:
ftp.rsasecurity.com/support/Patches/Ace/Agent/5.1.1_Agent/WebAgent5.1.1.tar.gz

Vulnérabilité découverte par :

Rapid7

Référence :
http://www.rapid7.com/advisories/R7-0014.html


Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.