Vigil@nce : SAP NetWeaver, Cross Site Scripting de Web Services Navigator
juillet 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans SAP J2EE
Web Services Navigator, afin de faire exécuter du script dans le
contexte web d’un utilisateur visitant le site.
– Gravité : 2/4
– Date création : 21/07/2010
– Date révision : 23/07/2010
DESCRIPTION DE LA VULNÉRABILITÉ
La plateforme SAP NetWeaver est basée sur un moteur SAP J2EE.
L’interface Web Services Navigator (wsnavigator) assure
l’interaction entre les Web Services J2EE.
Le paramètre "title" de la page /wsnavigator/jsps/explorer/help.jsp
n’est pas correctement filtré. Un Cross Site Scripting affecte
alors le composant SAP_JTECHS de Web Services Navigator.
Un attaquant peut donc provoquer un Cross Site Scripting dans SAP
J2EE Web Services Navigator, afin de faire exécuter du script dans
le contexte web d’un utilisateur visitant le site.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SAP-NetWeaver-Cross-Site-Scripting-de-Web-Services-Navigator-9779