Vigil@nce - Python requests : manipulation de Cookie
juin 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser les clients de Python requests, afin de
forcer un cookie ou de lire un cookie.
Produits concernés : Fedora, MBS, Ubuntu, Unix (plateforme)
Gravité : 2/4
Date création : 30/03/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Python requests implémente un client web.
Cependant, si le serveur web utilise une redirection avec un
Cookie n’indiquant pas un nom de domaine explicite, Python
requests présente ce cookie au serveur ciblé par la redirection.
Le serveur cible peut aussi obtenir les cookies du serveur source.
Un attaquant peut donc utiliser les clients de Python requests,
afin de forcer un cookie ou de lire un cookie.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Python-requests-manipulation-de-Cookie-16490