Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Dotclear : quatre Cross Site Scripting

février 2012 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer quatre Cross Site Scripting dans
l’interface d’administration de Dotclear, afin d’exécuter du code
JavaScript dans le contexte de l’administrateur connecté.

Gravité : 2/4

Date création : 13/02/2012

PRODUITS CONCERNÉS

 Dotclear

DESCRIPTION DE LA VULNÉRABILITÉ

Quatre vulnérabilités ont été annoncées dans l’interface
d’administration de Dotclear.

La page admin/auth.php ne filtre pas son paramètre "login_data",
avant de l’afficher, ce qui conduit à un Cross Site Scripting.
[grav:2/4]

La page admin/blogs.php ne vérifie pas si son paramètre "nb" est
un entier avant de l’utiliser. [grav:2/4]

Les pages admin/comments.php et admin/posts.php n’initialisent pas
correctement les valeurs par défaut. [grav:2/4]

La page plugins/tags/tag_posts.php ne vérifie pas si son paramètre
"page" est un entier avant de l’utiliser. [grav:2/4]

Un attaquant peut donc provoquer quatre Cross Site Scripting dans
l’interface d’administration de Dotclear, afin d’exécuter du code
JavaScript dans le contexte de l’administrateur connecté.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Dotclear-quatre-Cross-Site-Scripting-11354


Voir les articles précédents

    

Voir les articles suivants