Vigil@nce : Perl, Cross Site Scripting via HTML-Template-Pro
janvier 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans les
documents web générés par le module Perl HTML-Template-Pro.
– Gravité : 2/4
– Date création : 20/12/2011
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Perl HTML-Template-Pro permet de générer des documents
web à base de modèles.
La fonction jsencode_pstring() du fichier pstrutils.inc encode les
caractères spéciaux contenus dans des fonctions JavaScript.
Cependant, les caractères ’<’ et ’>’ ne sont pas encodés. Un
attaquant peut alors les injecter dans les documents web générés.
Un attaquant peut donc provoquer un Cross Site Scripting dans les
documents web générés par le module Perl HTML-Template-Pro.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Perl-Cross-Site-Scripting-via-HTML-Template-Pro-11239