Vigil@nce : Microsoft Exchange, Cross Site Scripting d’OWA
juillet 2008 par Emmanuelle Lamandé
Un attaquant peut provoquer deux Cross Site Scripting dans OWA
afin d’effectuer les opérations dans le contexte de la victime
connectée.
– Gravité : 2/4
– Conséquences : accès/droits utilisateur
– Provenance : client internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 09/07/2008
– Référence : VIGILANCE-VUL-7940
PRODUITS CONCERNÉS
Microsoft Exchange [versions confidentielles]
DESCRIPTION
Le service OWA (Outlook Web Access) permet aux utilisateurs de
consulter leur messagerie et leur agenda via un navigateur web. Il
comporte deux Cross Site Scripting.
Lors de l’ouverture d’un email, certains champs ne sont pas
correctement filtrés. [grav:2/4 ; BID-30130, CVE-2008-2247]
Lors de l’affichage d’un email, certains champs ne sont pas
correctement filtrés. [grav:2/4 ; CVE-2008-2248]
Un attaquant peut donc exécuter du code JavaScript dans le
contexte du site web OWA, afin par exemple de lire ou d’effacer
les mails de la victime.
CARACTÉRISTIQUES
– Références : 953747, BID-30130, CVE-2008-2247, CVE-2008-2248,
MS08-039, VIGILANCE-VUL-7940
– Url : https://vigilance.aql.fr/arbre/1/7940