Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Virtual Calendar : Divulgation de Mot de Passe et Cross-Site Scripting

13/02/2007 12H21
Référence Secunia : SA24125  
Date de publication : 2007-02-13

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Cross Site Scripting, Exposition de données sensibles
Lieu : A distance


Solutions :
Non corrigée


Produit :
Virtual Calendar

Description :
Quelques vulnérabilités et un problème de sécurité ont été identifiés dans Virtual Calendar, qui pourraient être exploitées par des personnes malintentionnées pour prendre connaissance d'informations sensibles et conduire des attaques cross-site scripting.

1) Des permissions incorrectes sur le fichier "pwd.txt" pourraient être exploitées afin de divulguer le mot de passe de l'utilisateur administratif.

2) L'entrée passée au paramètre "sho" (si le paramètre "m" n'est pas une valeur comprise entre 0 à 13 compris) et à "t" et "yr" n'est pas correctement filtrée avant d'être renvoyée à l'utilisateur. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site affecté.


Solutions :
Définir les permissions correctes de fichiers. Editez le code source pour s'assurer que l'entrée est correctement filtrée.


Vulnérabilité découverte par :

1) BorN To K!LL
2) Une personne anonyme




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.