Vigil@nce : Sun Java System Messaging, Cross Site Scripting de Webmail
novembre 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut faire exécuter du code JavaScript dans le
navigateur d’un utilisateur à l’aide d’un mail illicite.
Gravité : 2/4
Conséquences : accès/droits client
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 13/11/2008
PRODUITS CONCERNÉS
– Sun Java System Messaging Server
DESCRIPTION
Le service Webmail s’active sur Sun Java System Messaging Server
afin que les utilisateurs distants consultent leurs boîtes aux
lettres par l’intermédiaire d’un navigateur web.
Lorsqu’un utilisateur ouvre un email spécialement formaté,
certains scripts contenus dans le mail sont exécutés. Les détails
techniques ne sont pas connus.
Un attaquant peut donc faire exécuter du code JavaScript dans le
navigateur d’un utilisateur.
CARACTÉRISTIQUES
Références : 242186, 6683220, BID-32285, CVE-2008-5098,
VIGILANCE-VUL-8244