SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection Référence Secunia : SA20661 Risque : Relativement faible. Niveau 2 sur 5.  Impact : Cross Site Scripting Lieu : A distance Solutions : Correctif de l'éditeur Produit : Horde Application Framework 3.x Référence CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2195 Description : Quelques vulnérabilités ont été identifiées dans Horde, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques cross-site scripting. L'entrée passée au paramètre "url" dans test.php et à "name", "email", "subject", et "message" dans /templates/problem/problem.inc n'est pas correctement filtrée avant d'être renvoyée à l'utilisateur. Cela pourrait être exploité pour exécuter du code HTML et script arbitraires dans une session de navigation d'un utilisateur dans le contexte d'un site affecté. Les vulnérabilités ont été identifiées dans les versions 3.0.10 et 3.1.1. Les versions précédentes pourraient également être affectées. Solutions : Les vulnérabilités ont été corrigées dans le CVS. Vulnérabilité découverte par : Vulnérabilité découverte par l'éditeur. Référence : Horde.org: http://cvs.horde.org/diff.php?f=horde%2Ftest.php&r1=1.145&r2=1.146 http://cvs.horde.org/diff.php?f=horde%2Ftemplates%2Fproblem%2Fproblem.inc&r1=2.25&r2=2.26 Debian: http://www.us.debian.org/security/2006/dsa-1098 Veuillez noter : L'information, sur laquelle est basé ce bulletin Secunia, provient d'un tiers sans mention du contraire. Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs. |
SECURINFOS
|
|