Vigil@nce : Trend Micro InterScan Messaging Security Suite, deux vulnérabilités
octobre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting et un Cross
Site Request Forgery dans Trend Micro InterScan Messaging Security
Suite, afin de faire exécuter des actions avec les privilèges de
l’utilisateur authentifié.
– Produits concernés : InterScan Messaging Security Suite
– Gravité : 2/4
– Date création : 14/09/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans Trend Micro InterScan
Messaging Security Suite.
Les pages addRuleAttrWrsApproveUrl.imss et initUpdSchPage.imss ne
filtrent pas leurs paramètres, avant de les injecter dans le code
HTML généré. [grav:2/4 ; CVE-2012-2995]
Le formulaire saveAccountSubTab.imss ne vérifie pas l’origine des
requêtes, avant de les accepter. [grav:2/4 ; CVE-2012-2996]
Un attaquant peut donc provoquer un Cross Site Scripting et un
Cross Site Request Forgery dans Trend Micro InterScan Messaging
Security Suite, afin de faire exécuter des actions avec les
privilèges de l’utilisateur authentifié.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET