Vigil@nce - Microsoft Visual Studio 2005 : Cross Site Scripting de Report Viewer
août 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un site web utilise le contrôle Report Viewer, un attaquant
peut y provoquer un Cross Site Scripting, afin d’exécuter du code
JavaScript dans le navigateur web des visiteurs du site.
Gravité : 2/4
Date création : 10/08/2011
PRODUITS CONCERNÉS
– Microsoft Visual Studio
DESCRIPTION DE LA VULNÉRABILITÉ
Microsoft Visual Studio 2005 fournit le contrôle Report Viewer,
qui permet de générer des rapports :
– sur un site web ASP.NET (ReportViewer Web), ou
– dans une application Windows (ReportViewer Windows Forms).
Ce contrôle utilise une source de données pour générer le
document. Cependant, le contrôle pour ASP.NET ne filtre pas les
données avant de les afficher dans la page HTML générée.
Lorsqu’un site web utilise le contrôle Report Viewer, un attaquant
peut donc y provoquer un Cross Site Scripting, afin d’exécuter du
code JavaScript dans le navigateur web des visiteurs du site.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET