SECURinfos.INFO - Bulletins de sécurité informatique, Alertes et Protection
PHP Event Calendar Add Event : Vulnérabilités d'Insertion de Script
13/09/2006 14H51 Référence Secunia : SA21895
Risque : Relativement faible. Niveau 2 sur 5. Impact : Cross Site Scripting Lieu : A distance Solutions : Non corrigée
Produit :
PHP Event Calendar 1.x
Description :
NR Nandini a rapporté quelques vulnérabilités dans PHP Event Calendar, qui pourraient être exploitées par certains les utilisateurs malicieux pour conduire des attaques par insertion de script.
L'entrée passée au paramètre "ti", "bi", et "cbgi" dans cl_files/index.php en ajoutant an event n'est pas contrôlée correctement avant d'être utilisée. Cela pourrait être exploité pour injecter du code HTML et script arbitraires, qui sera exécuté dans une session de navigation d'un utilisateur dans le contexte d'un site affecté quand les données de l'utilisateur malicieux sont affichées.
L'exploitation de ce problème requière les privilèges to add events.
Les vulnérabilités ont été identifiées dans la version 1.5.1. Les autres versions pourraient également être affectées.
Solutions :
Editez le code source pour s'assurer que l'entrée est correctement filtrée.
NOTE : Les vulnérabilités have été inadequately corrigé par seulement filtering the "script" tag.
Vulnérabilité découverte par :
NR Nandini, OS2A
Veuillez noter : L'information sur laquelle est basé ce bulletin Secunia provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
SECURINFOS
