Vigil@nce - ArubaOS : deux vulnérabilités
juillet 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux vulnérabilités de Aruba OS, afin
de provoquer un Cross Site Scripting, ou de rediriger les
utilisateurs de Captive Portal.
Gravité : 2/4
Date création : 07/07/2011
PRODUITS CONCERNÉS
– Aruba Networks ArubaOS
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans Aruba OS.
Un attaquant peut activer un point d’accès avec un SSID contenant
du code JavaScript. Lorsque l’administrateur se connectera sur
l’interface WebUI, et consultera la page listant les points
d’accès découverts, le code JavaScript s’exécutera dans son
navigateur web. [grav:2/4]
La fonctionnalité Captive Portal permet de rediriger les
utilisateurs authentifiés vers une page web personnalisée.
Cependant, un attaquant peut employer une vulnérabilité de type
HTTP Response Splitting, afin de rediriger les victimes (qui
cliquent sur un lien illicite) vers une autre page. [grav:2/4]
Un attaquant peut donc employer deux vulnérabilités de Aruba OS,
afin de provoquer un Cross Site Scripting, ou de rediriger les
utilisateurs de Captive Portal.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/ArubaOS-deux-vulnerabilites-10819