Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Microsoft Exchange, Cross Site Scripting d’OWA

juillet 2008 par Emmanuelle Lamandé

Un attaquant peut provoquer deux Cross Site Scripting dans OWA
afin d’effectuer les opérations dans le contexte de la victime
connectée.

 Gravité : 2/4
 Conséquences : accès/droits utilisateur
 Provenance : client internet
 Moyen d’attaque : aucun démonstrateur, aucune attaque
 Compétence de l’attaquant : expert (4/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : élevée (3/3)
 Date création : 09/07/2008
 Référence : VIGILANCE-VUL-7940

PRODUITS CONCERNÉS

Microsoft Exchange [versions confidentielles]

DESCRIPTION

Le service OWA (Outlook Web Access) permet aux utilisateurs de
consulter leur messagerie et leur agenda via un navigateur web. Il
comporte deux Cross Site Scripting.

Lors de l’ouverture d’un email, certains champs ne sont pas
correctement filtrés. [grav:2/4 ; BID-30130, CVE-2008-2247]

Lors de l’affichage d’un email, certains champs ne sont pas
correctement filtrés. [grav:2/4 ; CVE-2008-2248]

Un attaquant peut donc exécuter du code JavaScript dans le
contexte du site web OWA, afin par exemple de lire ou d’effacer
les mails de la victime.

CARACTÉRISTIQUES

 Références : 953747, BID-30130, CVE-2008-2247, CVE-2008-2248,
MS08-039, VIGILANCE-VUL-7940
 Url : https://vigilance.aql.fr/arbre/1/7940


Voir les articles précédents

    

Voir les articles suivants