Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer un Cross Site Scripting dans
l’interface web d’administration de Cisco IronPort Encryption,
afin d’exécuter du code JavaScript dans la session de
l’administrateur connecté.

– Gravité : 2/4
– Date création : 15/02/2012
– Date révision : 17/02/2012

PRODUITS CONCERNÉS

– Cisco IronPort Encryption

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Cisco IronPort Encryption dispose d’une interface web
d’administration.

La page d’administration est générée en JavaScript, à l’aide d’un
entête, d’un corps et d’un pied de page. L’entête peut être
modifié via le paramètre "header". Cependant cet entête est inséré
dans la page sans être filtré.

Un attaquant peut donc provoquer un Cross Site Scripting dans
l’interface web d’administration de Cisco IronPort Encryption,
afin d’exécuter du code JavaScript dans la session de
l’administrateur connecté.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Cisco-IronPort-Encryption-Cross-Site-Scripting-11370