Vigil@nce : Joomla, multiples Cross Site Scripting
juin 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs Cross Site Scripting de
l’interface d’administration de Joomla, afin d’exécuter du code
JavaScript privilégié.
– Gravité : 2/4
– Date création : 31/05/2010
– Date révision : 03/06/2010
DESCRIPTION DE LA VULNÉRABILITÉ
L’interface d’administration de Joomla comporte plusieurs
composants, listant des données pouvant être filtrées :
– administrator/components/com_banners/controllers/banner.php
– administrator/components/com_content/models/element.php
– administrator/components/com_messages/admin.messages.html.php
– etc.
Ces entrées sont filtrées en utilisant une requête SQL LIKE,
construite à partir des données à chercher. Cependant, les
variables "search" ne sont pas filtrées avant d’être ré-affichées.
Un attaquant peut donc employer plusieurs Cross Site Scripting de
l’interface d’administration de Joomla, afin d’exécuter du code
JavaScript privilégié.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Joomla-multiples-Cross-Site-Scripting-9675