Vigil@nce - Dell OpenManage Server Administrator : Cross Site Scripting via index_main.htm
janvier 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans Dell
OpenManage Server Administrator, afin de faire exécuter du code
JavaScript dans le contexte du site web.
Produits concernés : OpenManage System Management
Gravité : 2/4
Date création : 10/01/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Dell OpenManage Server Administrator propose des pages
d’aides sur un serveur web en écoute sur le port 1311/tcp, et
accessibles à l’adresse :
/help/sm/en/Output/wwhelp/wwhimpl/js/html/index_main.htm
Le paramètre "topic" de la page index_main.htm indique le sujet
recherché. Cependant, ce paramètre n’est pas filtré avant d’être
affiché dans la page HTML générée.
Un attaquant peut donc provoquer un Cross Site Scripting dans Dell
OpenManage Server Administrator, afin de faire exécuter du code
JavaScript dans le contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET