Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’un document HTML a été généré par Ruby RDoc, un attaquant
peut provoquer un Cross Site Scripting via le script darkfish.js.

Produits concernés : openSUSE, Unix (plateforme)

Gravité : 2/4

Date création : 07/02/2013

DESCRIPTION DE LA VULNÉRABILITÉ

L’outil Ruby RDoc permet de générer de la documentation HTML.

La fonction highlightTarget() du fichier darkfish.js surligne les
mots associés à l’ancre visitée. Cependant, le nom de l’ancre est
directement utilisé, sans être filtré.

Lorsqu’un document HTML a été généré par Ruby RDoc, un attaquant
peut donc provoquer un Cross Site Scripting via le script
darkfish.js.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Ruby-Cross-Site-Scripting-via-RDoc-12388