Vigil@nce : Zope 2, Cross Site Scripting
janvier 2010 par Vigil@nce
Un attaquant peut provoquer un Cross Site Scripting dans le modèle
d’erreur de Zope version 2.
– Gravité : 2/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 13/01/2010
PRODUITS CONCERNÉS
– Zope
DESCRIPTION DE LA VULNÉRABILITÉ
Le modèle "standard_error_message" de Zope 2 est utilisé pour
afficher les erreurs.
Cependant, ce modèle ne filtre pas correctement les messages
d’erreur, avant de les insérer dans le document généré.
Un attaquant peut donc provoquer un Cross Site Scripting dans le
modèle d’erreur de Zope version 2.
CARACTÉRISTIQUES
– Références : BID-37765, VIGILANCE-VUL-9343
– Url : http://vigilance.fr/vulnerabilite/Zope-2-Cross-Site-Scripting-9343