Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Microsoft SharePoint Server, Cross Site Scripting via help.aspx

mai 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer la page d’aide de Microsoft SharePoint
Server, afin de mener un Cross Site Scripting.

 Gravité : 2/4
 Date création : 29/04/2010
 Date révision : 30/04/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La page d’aide de l’environnement Microsoft SharePoint Server est
gérée par le script "/_layouts/help.aspx".

Le paramètre "cid0" de help.aspx indique le nom du fichier
Manifest. Par exemple :
help.aspx ?cid0=MS.WSS.manifest.xml
Cependant, si ce paramètre contient le caractère nul, le code
situé après est directement affiché dans la page HTML.

Un attaquant peut donc employer la page d’aide de Microsoft
SharePoint Server, afin de mener un Cross Site Scripting.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Microsoft-SharePoint-Server-Cross-Site-Scripting-via-help-aspx-9620


Voir les articles précédents

    

Voir les articles suivants