Vigil@nce - OTRS : Cross Site Scripting via un email
août 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer un email vers OTRS, afin de provoquer un
Cross Site Scripting dans le navigateur web Internet Explorer de
la victime qui consulte le message.
Gravité : 2/4
Date création : 09/08/2012
PRODUITS CONCERNÉS
– OTRS Help Desk
DESCRIPTION DE LA VULNÉRABILITÉ
Le service OTRS centralise les messages provenant des utilisateurs.
Cependant, les emails au format HTML ne sont pas correctement
filtrés avant d’être insérés dans pages web générées par OTRS. Par
exemple, les apostrophes (") ou les commentaires (/*...*/) sont
ignorés.
Un attaquant peut donc envoyer un email vers OTRS, afin de
provoquer un Cross Site Scripting dans le navigateur web Internet
Explorer de la victime qui consulte le message.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OTRS-Cross-Site-Scripting-via-un-email-11837