Vigil@nce - Microsoft SharePoint 2010 : trois Cross Site Scripting
mars 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter un utilisateur de SharePoint à consulter
un document illicite, afin de provoquer un Cross Site Scripting,
qui lui permet d’exécuter du code JavaScript dans le contexte du
site web.
Gravité : 2/4
Date création : 15/02/2012
PRODUITS CONCERNÉS
– Microsoft Office SharePoint Server
DESCRIPTION DE LA VULNÉRABILITÉ
Le service Microsoft SharePoint est impacté par trois
vulnérabilités.
La page inplview.aspx ne filtre pas correctement ses paramètres,
ce qui conduit à un Cross Site Scripting. [grav:2/4 ; BID-51928,
CVE-2012-0017]
La page themeweb.aspx ne filtre pas correctement ses paramètres,
ce qui conduit à un Cross Site Scripting. [grav:2/4 ; BID-51934,
CVE-2012-0144]
La page wizardlist.aspx ne filtre pas correctement ses paramètres,
ce qui conduit à un Cross Site Scripting. [grav:2/4 ; BID-51937,
CVE-2012-0145]
Un attaquant peut donc inviter un utilisateur de SharePoint à
consulter un document illicite, afin de provoquer un Cross Site
Scripting, qui lui permet d’exécuter du code JavaScript dans le
contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Microsoft-SharePoint-2010-trois-Cross-Site-Scripting-11361