Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Sun Glassfish Enterprise Server, Cross Site Scripting

mai 2009 par Vigil@nce

Plusieurs Cross Site Scripting permettent à un attaquant
d’exécuter du code JavaScript dans le contexte de Sun Glassfish
Enterprise Server.

 Gravité : 2/4
 Conséquences : accès/droits client
 Provenance : document
 Moyen d’attaque : 3 attaques
 Compétence de l’attaquant : débutant (1/4)
 Confiance : sources multiples (3/5)
 Diffusion de la configuration vulnérable : élevée (3/3)
 Nombre de vulnérabilités dans ce bulletin : 3
 Date création : 06/05/2009

PRODUITS CONCERNÉS

 Sun GlassFish Enterprise Server

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs Cross Site Scripting permettent à un attaquant
d’exécuter du code JavaScript dans le contexte de Sun Glassfish
Enterprise Server.

Les pages /applications/applications.jsf, /configuration/configuration.jsf,
/customMBeans/customMBeans.jsf, /resourceNode/resources.jsf,
/sysnet/registration.jsf et /webService/webServicesGeneral.jsf ne
filtrent pas la requête dans l’url avant de l’afficher dans la
page HTML. [grav:2/4 ; CVE-2009-1553, DSECRG-09-034]

Les pages /configuration/auditModuleEdit.jsf,
/configuration/httpListenerEdit.jsf et /resourceNode/jdbcResourceEdit.jsf
ne filtrent pas le paramètre "name" dans l’url avant de l’afficher
dans la page HTML. [grav:2/4 ; CVE-2009-1553, DSECRG-09-034]

Le projet Sun Glassfish Woodstock (User Interface Components)
s’installe sur Sun Glassfish Woodstock Project. Un attaquant peut
employer un encodage UTF-7 pour injecter du code JavaScript dans
la page d’erreur 404 de Woodstock. [grav:2/4 ; CVE-2009-1554,
DSECRG-09-038]

CARACTÉRISTIQUES

 Références : BID-34824, CVE-2009-1553, CVE-2009-1554,
DSECRG-09-034, DSECRG-09-038, VIGILANCE-VUL-8693
 Url : http://vigilance.fr/vulnerabilite/Sun-Glassfish-Enterprise-Server-Cross-Site-Scripting-8693


Voir les articles précédents

    

Voir les articles suivants