Vigil@nce : Mailman, Cross Site Scripting via info/description
septembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer la page d’information de Mailman, afin
de provoquer un Cross Site Scripting.
– Gravité : 2/4
– Date création : 14/09/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme Mailman est un gestionnaire de mailing-list disposant
d’une interface web.
Une page web affiche les éléments d’une mailing-list :
– nom
– description
– information
Cependant, les champs "description" et "info" ne sont pas filtrés
avant d’être affichés.
Un attaquant, autorisé à modifier les champs d’une mailing-list,
peut donc employer la page d’information de Mailman, afin de
provoquer un Cross Site Scripting.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Mailman-Cross-Site-Scripting-via-info-description-9932