Vigil@nce : Cisco IronPort Encryption, Cross Site Scripting
mars 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans
l’interface web d’administration de Cisco IronPort Encryption,
afin d’exécuter du code JavaScript dans la session de
l’administrateur connecté.
– Gravité : 2/4
– Date création : 15/02/2012
– Date révision : 17/02/2012
PRODUITS CONCERNÉS
– Cisco IronPort Encryption
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco IronPort Encryption dispose d’une interface web
d’administration.
La page d’administration est générée en JavaScript, à l’aide d’un
entête, d’un corps et d’un pied de page. L’entête peut être
modifié via le paramètre "header". Cependant cet entête est inséré
dans la page sans être filtré.
Un attaquant peut donc provoquer un Cross Site Scripting dans
l’interface web d’administration de Cisco IronPort Encryption,
afin d’exécuter du code JavaScript dans la session de
l’administrateur connecté.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-IronPort-Encryption-Cross-Site-Scripting-11370