Vigil@nce - Symantec Endpoint Protection Manager : deux vulnérabilités de la console web
août 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting et un Cross
Site Request Forgery dans la console web Symantec Endpoint
Protection Manager.
Gravité : 2/4
Date création : 11/08/2011
PRODUITS CONCERNÉS
– Symantec Endpoint Protection
DESCRIPTION DE LA VULNÉRABILITÉ
Le service Symantec Endpoint Protection Manager propose une
console web qui permet de configurer le produit via une interface
web. Elle est impactée par deux vulnérabilités.
Les données de l’url "/console/apps/sepm" sont directement
affichées dans la page HTML générée. De même, le paramètre "token"
de portal/Help.jsp est affiché sans filtrage. Un attaquant peut
alors provoquer un Cross Site Scripting. [grav:2/4 ; BID-48231,
CVE-2011-0550]
Un attaquant peut provoquer un Cross Site Request Forgery.
[grav:2/4 ; BID-49101, CVE-2011-0551]
Un attaquant peut donc provoquer un Cross Site Scripting et un
Cross Site Request Forgery dans la console web Symantec Endpoint
Protection Manager.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET