Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Nuke ET codigo : Vulnérabilité Cross-Site Scripting

22/01/2007 16H02
Référence Secunia : SA15332 
Date de publication : 2005-05-11
Dernière mise à jour : 2005-05-19

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Nuke ET 3.x

Référence CVE :
CVE-2005-1610


Description :
Suko et Lostmon ont rapporté une vulnérabilité dans Nuke ET, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques cross-site scripting.

L'entrée passée au paramètre "codigo" dans "security.php" n'est pas contrôlée correctement avant d'être renvoyée à l'utilisateur. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site vulnérable.

La vulnérabilité a été rapportée en versions inférieures à 3.2.


Solutions :
Mettre à jour en version 3.2.


Vulnérabilité découverte par :

Lostmon
Historique :
2005-05-19: Référence CVE ajoutée.

Référence :
http://lostmon.blogspot.com/2005/05/nukeet-codigo-variable-cross-site.html




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.