Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer deux vulnérabilités de Aruba OS, afin
de provoquer un Cross Site Scripting, ou de rediriger les
utilisateurs de Captive Portal.

Gravité : 2/4

Date création : 07/07/2011

PRODUITS CONCERNÉS

– Aruba Networks ArubaOS

DESCRIPTION DE LA VULNÉRABILITÉ

Deux vulnérabilités ont été annoncées dans Aruba OS.

Un attaquant peut activer un point d’accès avec un SSID contenant
du code JavaScript. Lorsque l’administrateur se connectera sur
l’interface WebUI, et consultera la page listant les points
d’accès découverts, le code JavaScript s’exécutera dans son
navigateur web. [grav:2/4]

La fonctionnalité Captive Portal permet de rediriger les
utilisateurs authentifiés vers une page web personnalisée.
Cependant, un attaquant peut employer une vulnérabilité de type
HTTP Response Splitting, afin de rediriger les victimes (qui
cliquent sur un lien illicite) vers une autre page. [grav:2/4]

Un attaquant peut donc employer deux vulnérabilités de Aruba OS,
afin de provoquer un Cross Site Scripting, ou de rediriger les
utilisateurs de Captive Portal.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/ArubaOS-deux-vulnerabilites-10819