Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Adobe Dreamweaver/Contribute Insert Flash Video : Cross-Site Scripting

17/01/2008 13H08
Référence Secunia : SA28519 
Date de publication : 2008-01-17

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Adobe Contribute 4.x
Adobe Contribute CS3
Adobe Dreamweaver CS3
Macromedia Dreamweaver 8.x

Référence CVE :
CVE-2007-6637


Description :
Quelques vulnérabilités ont été identifiées dans Adobe Dreamweaver et Adobe Contribute, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques cross-site scripting.

Les vulnérabilités sont causées du fait d'erreurs de validation d'entrée dans le généré code en utilisant la commande "Insert Flash Video" . Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans le contexte d'un site affecté en utilisant a généré SWF file.

Ceci est également related à vulnérabilités #5 et #6 dans:

Les vulnérabilités affectent Dreamweaver CS3, Dreamweaver 8, Contribute CS3, et Contribute 4.


Solutions :
Mettre à jour the FLVPlayer_Progressive.swf et FLVPlayer_Streaming.swf files.
http://www.adobe.com/go/kb402925


Vulnérabilité découverte par :

L'éditeur crédite Rich Cannings, Google Security Team.

Référence :
APSB08-01:
http://www.adobe.com/support/security/bulletins/apsb08-01.html

APSA07-06:
http://www.adobe.com/support/security/advisories/apsa07-06.html


Autres références :

SA28161:
http://secunia.com/advisories/28161/




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.