Vigil@nce : JBoss AS, deux vulnérabilités de la Console
décembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting et un Cross
Site Request Forgery dans la Console d’administration de JBoss AS.
– Gravité : 2/4
– Date création : 02/12/2011
PRODUITS CONCERNÉS
– JBoss Application Server
– Red Hat JBoss Enterprise Application Platform
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans la Console
d’administration de JBoss Application Server.
Un attaquant peut provoquer un Cross Site Scripting via
l’évènement OnError, afin d’exécuter du code JavaScript dans le
contexte du site web. [grav:2/4 ; 742984, BID-50885, CVE-2011-3606]
Un attaquant peut employer JSON, afin de provoquer un Cross Site
Request Forgery, pour exécuter des commandes administratives.
[grav:2/4 ; 743006, BID-50888, CVE-2011-3609]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/JBoss-AS-deux-vulnerabilites-de-la-Console-11188