Vigil@nce : SAP GUI, exécution de commande via wadmxhtml
juillet 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer l’ActiveX wadmxhtml.dll de SAP GUI,
afin d’exécuter du code sur la machine de la victime consultant
une page HTML illicite.
– Gravité : 2/4
– Date création : 16/07/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit SAP GUI for Windows installe l’ActiveX wadmxhtml.dll,
qui peut être appelé depuis le navigateur web de l’utilisateur.
Une page web illicite peut employer la propriété Tags de
wadmxhtml.dll, afin de corrompre la mémoire.
Un attaquant peut donc employer l’ActiveX wadmxhtml.dll de SAP
GUI, afin d’exécuter du code sur la machine de la victime
consultant une page HTML illicite.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SAP-GUI-execution-de-commande-via-wadmxhtml-9771