Vigil@nce - Juniper JunOS : Cross Site Scripting de J-Web
septembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer détourner le traitement d’erreurs
dans J-Web de Juniper JunOS, afin d’exécuter du code JavaScript
dans le contexte du site web ou de mener un déni de service.
Produits concernés : Juniper J-Series, JUNOS.
Gravité : 2/4.
Date création : 09/07/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Juniper JunOS dispose d’un service web J-Web.
Cependant, les données reçues ne sont pas filtrées avant
d’être insérées dans des pages d’erreur. De plus, des anomalies
dans le traitement d’erreur permettent à un attaquant de tuer le
serveur J-Web.
Un attaquant peut donc provoquer détourner le traitement
d’erreurs dans J-Web de Juniper JunOS, afin d’exécuter du code
JavaScript dans le contexte du site web ou de mener un déni de
service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Juniper-JunOS-Cross-Site-Scripting-de-J-Web-17332