Vigil@nce : SharePoint, Cross Site Scripting
octobre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut injecter du code script sur un site SharePoint
utilisant la méthode SafeHTML pour filtrer les données.
– Gravité : 2/4
– Date création : 13/10/2010
DESCRIPTION DE LA VULNÉRABILITÉ
La méthode SafeHTML permet de filter les données. Elle est par
exemple utilisée pour supprimer le code JavaScript contenu dans
les données soumises par les clients web, avant d’afficher le
résultat sur le site web. Cependant, deux vulnérabilités de
SafeHTML rendent ce filtrage inefficace.
La méthode SafeHTML ne filtre pas correctement les pages HTML, ce
qui permet à un attaquant de mener un Cross Site Scripting.
[grav:2/4 ; CVE-2010-3243]
La méthode SafeHTML ne filtre pas correctement les pages HTML, ce
qui permet à un attaquant de mener un Cross Site Scripting.
[grav:2/4 ; CVE-2010-3324]
Un attaquant peut donc injecter du code script sur un site
SharePoint utilisant la méthode SafeHTML pour filtrer les données.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SharePoint-Cross-Site-Scripting-10019