Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : SAP Netweaver, Cross Site Scripting de UDDI

août 2009 par Vigil@nce

Un attaquant peut provoquer un Cross Site Scripting dans le client
UDDI de SAP Netweaver.

Gravité : 2/4

Conséquences : accès/droits client

Provenance : document

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 13/08/2009

PRODUITS CONCERNÉS

 SAP NetWeaver

DESCRIPTION DE LA VULNÉRABILITÉ

La spécification UDDI (Universal Description Discovery and
Integration) permet de découvrir des services web. Les tModel
(modèles techniques) indiquent les caractéristiques techniques
d’un service.

Le produit SAP NetWeaver Application Server fournit un client
UDDI, accessible via un navigateur web à l’adresse
http://serveur:port/uddiclient.

Le champ "TModel Key" de la page "/uddiclient/process" ne valide
pas correctement ses paramètres avant de les afficher.

Un attaquant peut donc provoquer un Cross Site Scripting dans le
client UDDI de SAP Netweaver.

CARACTÉRISTIQUES

Références : 1322098, BID-36034, DSECRG-09-033, VIGILANCE-VUL-8948

http://vigilance.fr/vulnerabilite/SAP-Netweaver-Cross-Site-Scripting-de-UDDI-8948


Voir les articles précédents

    

Voir les articles suivants