CERTA : Vulnérabilité dans Dreamweaver et Contribute
janvier 2008 par CERT-FR
1 Risque
Injection de code indirecte (cross-site scripting)
2 Systèmes affectés
* Dreamweaver CS3 ;
* Dreamweaver 8 ;
* Contribute CS3 ;
* Contribute 4.
3 Résumé
Les codes engendrés par les versions vunérables des logiciels de Adobe
permettent une attaque du type injection de code indirect.
4 Description
Les fichiers SWF créés avec la commande Insert Flash Video, depuis une
application Adobe vulnérable, permettent l’injection de code indirecte qui sera
exécuté dans le contexte du site visité.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Adobe apsb08-01 du 16 janvier 2008 :
http://www.adobe.com/support/security/bulletins/apsb08-01.html
* Référence CVE CVE-2007-6244 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6244
* Référence CVE CVE-2007-6637 :