Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Active WebCam : Traversée de Répertoire et Cross-Site Scripting

21/01/2007 19H10
Référence Secunia : SA10479 
Date de publication : 2003-12-22

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Cross Site Scripting, Exposition d'informations systèmes, Exposition de données sensibles
Lieu : A distance


Solutions :
Non corrigée


Produit :
Active WebCam 4.x

Description :
Luigi Auriemma a rapporté deux vulnérabilités dans Active WebCam, qui pourraient être exploitées par des personnes malintentionnées lire des fichiers arbitraires sur un système et conduire Cross-Site Scripting attaques.

Les deux vulnérabilités sont causées du fait que missing input validation.

The contenu de fichiers arbitraires sur un système vulnérable peut être lu via classic des attaques pour traverser les répertoires.

Exemple :
http://[victime]:8080/../../../windows/system.ini

L'entrée utilisateur n'est pas filtrée avant d'être retournant dans les pages d'erreur. Arbitrary HTML ou du code de script peut ensuite être inclus dans an invalid request, qui va l'entrainer à être exécutées dans une session de navigation d'un utilisateur quand affiché.

Exemple :
http://[victime]:8080/br />

Les vulnérabilités ont été identifiées dans les versions 4.3 et précédente.


Solutions :
Il est rapporté que, l'éditeur a réalisé une version mise à jour on 17th December sans incrementing le numéro de version.


Vulnérabilité découverte par :

Luigi Auriemma

Référence :
http://aluigi.altervista.org/adv/activecam-adv.txt






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.