Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Sun AS, GlassFish, Cross Site Scripting

mai 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer deux Cross Site Scripting dans Sun
GlassFish Enterprise Server et Sun Java System Application Server.

Gravité : 2/4

Conséquences : accès/droits client

Provenance : client internet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 2

Date création : 12/05/2009

PRODUITS CONCERNÉS

 Sun GlassFish Enterprise Server
 Sun Java System Application Server

DESCRIPTION DE LA VULNÉRABILITÉ

Un attaquant peut provoquer deux Cross Site Scripting dans Sun
GlassFish Enterprise Server et Sun Java System Application Server.

Le projet SailFin utilise le protocole SIP, et l’implémentation de
javax.servlet.sip (glassfish/comms/admin/gui/extensions/docroot/sip/...).
Cependant, la méthode getRequestValue() n’est pas utilisée pour
obtenir les paramètres GET dans plusieurs fichiers sous
extensions/docroot/sip. [grav:2/4 ; 6820994]

Un Cross Site Scripting d’origine inconnue a aussi été annoncé.
[grav:2/4 ; 6717148]

Un attaquant peut donc faire exécuter du code JavaScript dans le
contexte du site web.

CARACTÉRISTIQUES

Références : 258528, 6717148, 6820994, BID-34914,
VIGILANCE-VUL-8708
http://vigilance.fr/vulnerabilite/Sun-AS-GlassFish-Cross-Site-Scripting-8708


Voir les articles précédents

    

Voir les articles suivants