Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

File-Sharing pour NET Message Forum : Cross-Site Scripting

21/01/2007 16H15
Référence Secunia : SA9963 
Date de publication : 2003-10-07

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Non corrigée


Produit :
File-Sharing pour NET 1.x

Description :
Une vulnérabilité a été rapportée dans File-Sharing pour NET, qui pourrait être exploitée par des utilisateurs malicieux pour conduire des attaques Cross-Site Scripting against autres utilisateurs.

La vulnérabilité est causée du fait d'un manque de validation dans le "Subject" et "Your Message" fields en postant new messages dans le message forum. Cela pourrait être exploité en incluant du code HTML ou de script arbitraire, qui sera exécuté dans une session de navigation d'un utilisateur quand affiché.

L'exploitation de ce problème pourrait divulguer des informations sensibles comme clear text les informations d'authentification utilisateur depuis ces sont stockées on users' systèmes dans des cookies.

La vulnérabilité a été confirmée en version 1.5. Dans tout les cas, d'autres versions pourraient aussi être affectées.


Solutions :
Autoriser seulement acces aux utilisateurs fiables.

Filtrer les caractères et séquences de caractères malicieux dans un proxy HTTP.


Vulnérabilité découverte par :

nimber




Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.