Vigil@nce : Joomla, multiples Cross Site Scripting
juin 2009 par Vigil@nce
Plusieurs Cross Site Scripting de Joomla ! peuvent être employés
par un attaquant afin d’exécuter du code JavaScript dans le
contexte du site web.
Gravité : 2/4
Conséquences : accès/droits client
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 3
Date création : 03/06/2009
PRODUITS CONCERNÉS
– Joomla !
DESCRIPTION DE LA VULNÉRABILITÉ
Trois Cross Site Scripting ont été annoncés dans Joomla.
La vue des utilisateurs (com_users) dans le panneau
d’administration ne filtre pas correctement ses paramètres.
[grav:2/4 ; CVE-2009-1940]
Le modèle JA_Purity ne filtre pas correctement ses paramètres.
[grav:2/4 ; CVE-2009-1939]
Plusieurs chaînes provenant du panneau d’administration sont
affichées sans être filtrées. [grav:1/4 ; CVE-2009-1938]
CARACTÉRISTIQUES
Références : BID-35189, CVE-2009-1938, CVE-2009-1939,
CVE-2009-1940, VIGILANCE-VUL-8754
http://vigilance.fr/vulnerabilite/Joomla-multiples-Cross-Site-Scripting-8754