Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Mailman : Cross Site Scripting via confirm.py

février 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer la page de confirmation de Mailman,
afin de provoquer un Cross Site Scripting.

Gravité : 2/4

Date création : 21/02/2011

PRODUITS CONCERNÉS

 Debian Linux
 Mandriva Corporate
 Mandriva Enterprise Server
 Mandriva Linux
 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ
Le programme Mailman est un gestionnaire de mailing-list disposant
d’une interface web.

Le script Mailman/Cgi/confirm.py gère les messages de confirmation
 :
 confirmation de désinscription
 confirmation de changement d’adresse email
 confirmation pour réactiver l’appartenance à une mailing-list

Cependant, ce script ne filtre pas le champ contenant le nom
complet de l’utilisateur.

Un attaquant peut donc employer la page de confirmation de
Mailman, afin de provoquer un Cross Site Scripting.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Mailman-Cross-Site-Scripting-via-confirm-py-10381


Voir les articles précédents

    

Voir les articles suivants