Vigil@nce - Ruby : Cross Site Scripting via RDoc
février 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un document HTML a été généré par Ruby RDoc, un attaquant
peut provoquer un Cross Site Scripting via le script darkfish.js.
Produits concernés : openSUSE, Unix (plateforme)
Gravité : 2/4
Date création : 07/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
L’outil Ruby RDoc permet de générer de la documentation HTML.
La fonction highlightTarget() du fichier darkfish.js surligne les
mots associés à l’ancre visitée. Cependant, le nom de l’ancre est
directement utilisé, sans être filtré.
Lorsqu’un document HTML a été généré par Ruby RDoc, un attaquant
peut donc provoquer un Cross Site Scripting via le script
darkfish.js.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Ruby-Cross-Site-Scripting-via-RDoc-12388