Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

HTML Purifier CSS : Cross-Site Scripting et Insertion de Script

23/06/2008 13H17
Référence Secunia : SA30779 
Date de publication : 2008-06-23

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
HTML Purifier 2.x
HTML Purifier 3.x


Description :
Deux vulnérabilités ont été identifiées dans HTML Purifier, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques cross-site scripting ou attaques par insertion de script.

L'entrée passée à la librairie contenant CSS data n'est pas correctement filtrée avant d'être utilisée. Cela pourrait être exploité pour insérer du code HTML et de script arbitraire, qui sera exécuté dans une session de navigation d'un utilisateur dans le contexte d'un site affecté quand les données malicieuses sont consultées.

L'exploitation de ce problème d'un des les vulnérabilités est possible seulement si le output encoding est règlé pour Shift_JIS.

Les vulnérabilités sont rapportées dans toutes les versions inférieures à 2.1.5 et 3.1.1.


Solutions :
Mettre à jour en version 2.1.5 ou 3.1.1.


Vulnérabilité découverte par :

Rapportée par l'éditeur.

Référence :
http://htmlpurifier.org/news.html




Veuillez noter : Le information que ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.