Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Horde IMP, Turba, Cross Site Scripting de test.php

décembre 2008 par Vigil@nce

SYNTHÈSE

Lorsque le script test.php est installé, un attaquant peut l’employer pour mener un Cross Site Scripting.

Gravité : 1/4

Conséquences : accès/droits client

Provenance : document

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : faible (1/3)

Date création : 10/12/2008

PRODUITS CONCERNÉS

- Unix - plateforme

DESCRIPTION

Le script test.php permet de vérifier l’installation et la configuration de Horde. La documentation recommande de l’enlever ou de changer ses droits lorsque le serveur est mis en production.

Ce script n’échappe pas plusieurs de ses paramètres avec htmlspecialchars() : server, basedn, filter et user.

Lorsque le script test.php n’a pas été désactivé, un attaquant peut donc l’employer pour mener un Cross Site Scripting.

CARACTÉRISTIQUES

Références : VIGILANCE-VUL-8323

http://vigilance.fr/vulnerabilite/8323




Voir les articles précédents

    

Voir les articles suivants