Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

XOOPS Dictionary : Vulnérabilité Cross-Site Scripting

22/01/2007 01H41
Référence Secunia : SA12424 
Date de publication : 2004-09-01
Dernière mise à jour : 2005-02-22

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Non corrigée


Produit :
XOOPS Dictionary 1.x

Référence CVE :
CVE-2004-1640


Description :
CyruxNET a découvert une vulnérabilité dans Dictionary module pour Xoops, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques cross-site scripting.

L'entrée passée au paramètre "letter" dans "letter.php" n'est pas filtrée avant d'être retournée aux utilisateurs. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site vulnérable en incitant un utilisateur à visiter un site web malicieux ou follow un lien spécialement conçu.

La vulnérabilité a été confirmée on version 1.10. Les autres versions pourraient également être affectées.


Solutions :
Editez le code source pour s'assurer que l'entrée utilisateur est correctement filtrée.


Vulnérabilité découverte par :

CyruxNET
Historique :
2005-02-22: Référence CVE ajoutée.






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.