Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Tomcat, Cross Site Scripting du host-manager

juin 2008 par Vigil@nce

SYNTHÈSE

Un attaquant peut provoquer un Cross Site Scripting via le
paramètre name du host-manager.

Gravité : 2/4

Conséquences : accès/droits client

Provenance : document

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 03/06/2008

Référence : VIGILANCE-VUL-7867

PRODUITS CONCERNÉS

 Apache Tomcat [versions confidentielles]

DESCRIPTION

Le service host-manager de Tomcat écoute sur le port 8080/tcp et
permet à l’administrateur de gérer les hosts virtuels.

Le script /host-manager/html/add ne filtre pas le nom du serveur
stocké dans le paramètre "name". Ce nom est directement affiché et
le code HTML qu’il contient est inséré dans la page web.

Un attaquant peut donc provoquer un Cross Site Scripting afin de
mener des actions avec les droits de l’administrateur connecté sur
le host-manager.

CARACTÉRISTIQUES

Références : CVE-2008-1947, VIGILANCE-VUL-7867

https://vigilance.aql.fr/arbre/1/7867


Voir les articles précédents

    

Voir les articles suivants