Vigil@nce - Cisco Web Security Appliance : Cross Site Scripting de HTTP
août 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans les
en-têtes de réponse HTTP provenant de Cisco Web Security
Appliance, afin d’exécuter du code JavaScript dans le contexte du
site web.
Produits concernés : AsyncOS, Cisco WSA.
Gravité : 2/4.
Date création : 22/06/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Web Security Appliance dispose d’une interface
web.
Cependant, les données reçues ne sont pas filtrées avant
d’être insérées dans les en-têtes de réponse HTTP. Il est
donc possible d’injecter dans la page des en-têtes
supplémentaires et éventuellement un corps de réponse qui peut
contenir des scripts.
Un attaquant peut donc provoquer un Cross Site Scripting dans les
en-têtes de réponse HTTP provenant de Cisco Web Security
Appliance, afin d’exécuter du code JavaScript dans le contexte du
site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-Web-Security-Appliance-Cross-Site-Scripting-de-HTTP-17192