Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Webcam Watchdog sresult.exe : Vulnérabilité Cross-Site Scripting

22/01/2007 01H03
Référence Secunia : SA12199 
Date de publication : 2004-08-02

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Non corrigée


Produit :
Webcam Watchdog 3.x
Webcam Watchdog 4.x

Description :
Dr_insane a rapporté une vulnérabilité dans Webcam Watchdog, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques cross-site scripting.

L'entrée utilisateur passée à the "cam" dans "sresult.exe" n'est pas filtrée avant d'être retournée aux utilisateurs. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site vulnérable si l'utilisateur est poussé à suivre un lien spécialement conçu ou visiter un site web malicieux.

La vulnérabilité a été confirmée en versions 3.66 et 4.01. Les autres versions pourraient également être affectées.


Solutions :
Filtrer les caractères et séquences de caractères malicieux dans un serveur proxy ou firewall avec capacités de filtrage d'URL.


Vulnérabilité découverte par :

Dr_insane

Référence :
http://members.lycos.co.uk/r34ct/main/Webcam_watchdog_401a.txt






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.