Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - ArcSight Connector, Logger : Cross Site Scripting

août 2012 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à importer un fichier
illicite avec ArcSight Connector ou Logger, afin de faire exécuter
du code JavaScript dans son navigateur.

Gravité : 1/4

Date création : 07/08/2012

PRODUITS CONCERNÉS
- ArcSight Connector
- ArcSight Logger

DESCRIPTION DE LA VULNÉRABILITÉ

Les produits ArcSight Connector et Logger permettent à
l’administrateur d’importer une liste de machines à partir d’un
fichier :
 System Admin
 Network
 Hosts
 Import from Local File

Cependant, les noms importés sont ensuite directement affichés par
le service, sans être filtrés. Un attaquant peut donc créer un
fichier contenant une liste de machines avec du code JavaScript,
qui sera inséré dans les pages générées par le service web.

Un attaquant peut donc inviter la victime à importer un fichier
illicite avec ArcSight Connector ou Logger, afin de faire exécuter
du code JavaScript dans son navigateur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/ArcSight-Connector-Logger-Cross-Site-Scripting-11826


Voir les articles précédents

    

Voir les articles suivants