Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Cisco Unified MeetingPlace, Cross Site Scripting

mars 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un utilisateur de Cisco Unified MeetingPlace peut provoquer un Cross Site Scripting dans le navigateur web des autres utilisateurs.

Gravité : 2/4

Conséquences : accès/droits client

Provenance : compte utilisateur

Moyen d’attaque : 1 démonstrateur

Compétence de l’attaquant : spécialiste (3/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 27/02/2009

PRODUITS CONCERNÉS

- Cisco Unified Communications Manager

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Cisco Unified MeetingPlace Web Conferencing est utilisé pour créer des conférences web. Chaque utilisateur peut modifier les paramètres de son compte : nom, téléphone, email, etc. Chaque utilisateur peut consulter le profil des autres utilisateurs.

Cependant, la page contenant le profil d’un utilisateur ne filtre pas son email avant de l’afficher. Un attaquant disposant d’un compte peut donc changer son email pour qu’elle contienne du code JavaScript. Ce code sera exécuté lorsque les autres utilisateurs consulteront le profil de l’attaquant.

Un utilisateur de Cisco Unified MeetingPlace peut donc provoquer un Cross Site Scripting dans le navigateur web des autres utilisateurs.

CARACTÉRISTIQUES

Références : 109480, BID-33915, cisco-sa-20090225-mtgplace, CSCsv66321, VIGILANCE-VUL-8496

http://vigilance.fr/vulnerabilite/Cisco-Unified-MeetingPlace-Cross-Site-Scripting-8496




Voir les articles précédents

    

Voir les articles suivants