Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Apache Tomcat, Cross Site Scripting d’un exemple

mars 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Scripting dans un exemple fourni avec Apache Tomcat.

Gravité : 1/4

Conséquences : accès/droits client

Provenance : document

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : faible (1/3)

Date création : 09/03/2009

PRODUITS CONCERNÉS

- Apache Tomcat

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs exemples sont fournis avec Apache Tomcat, comme "cal" qui implémente un calendrier. Ces exemples ne sont généralement pas installés.

Le script cal2.jsp génère un formulaire contenant une variable masquée "time" :

Cependant, la valeur n’est pas entourée de guillemets, ni terminée. Un attaquant peut donc par exemple insérer un "STYLE=" dans la page HTML contenant une expression JavaScript.

Un attaquant peut ainsi provoquer un Cross Site Scripting dans un exemple fourni avec Apache Tomcat.

CARACTÉRISTIQUES

Références : CVE-2009-0781, VIGILANCE-VUL-8521

http://vigilance.fr/vulnerabilite/Apache-Tomcat-Cross-Site-Scripting-d-un-exemple-8521




Voir les articles précédents

    

Voir les articles suivants