Vigil@nce : SPIP, Cross Site Scripting de informer_auteur
août 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans la page
SPIP informer_auteur, afin de faire exécuter du code JavaScript
dans le contexte du navigateur web des visiteurs.
– Gravité : 2/4
– Date création : 30/07/2010
DESCRIPTION DE LA VULNÉRABILITÉ
La page "informer_auteur" de SPIP affiche des informations sur
l’auteur d’un document.
Le fichier prive/informer_auteur_fonctions.php contient la
fonction informer_auteur(). Cependant, cette fonction ne filtre
pas le paramètre "var_login".
Un attaquant peut donc provoquer un Cross Site Scripting dans la
page SPIP informer_auteur, afin de faire exécuter du code
JavaScript dans le contexte du navigateur web des visiteurs.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SPIP-Cross-Site-Scripting-de-informer-auteur-9798