Vigil@nce : ProxySG, Cross Site Scripting
octobre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer un Cross Site Scripting dans ProxySG,
afin de faire exécuter des commandes CLI par l’administrateur.
– Gravité : 2/4
– Date création : 04/10/2010
DESCRIPTION DE LA VULNÉRABILITÉ
L’administrateur de ProxySG doit s’authentifier pour accéder à la
console d’administration web.
ProxySG ne filtre pas certains paramètres avant de les afficher
dans la page HTML. Un attaquant peut ainsi inviter
l’administrateur à consulter une url spéciale, qui affiche une
page contenant du code JavaScript. Comme l’administrateur est
authentifié, ce code est autorisé à exécuter des commandes CLI.
Un attaquant peut donc employer un Cross Site Scripting dans
ProxySG, afin de faire exécuter des commandes CLI par
l’administrateur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/ProxySG-Cross-Site-Scripting-9994