Vigil@nce : WebSphere AS, Cross Site Scripting
novembre 2009 par Vigil@nce
Un attaquant peut employer la console d’administration pour
provoquer un Cross Site Scripting afin de faire exécuter du code
JavaScript sur la machine de l’administrateur.
– Gravité : 2/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 16/11/2009
PRODUITS CONCERNÉS
– IBM WebSphere Application Server
DESCRIPTION DE LA VULNÉRABILITÉ
La console d’administration est une interface web permettant
l’administration de WebSphere AS.
Les paramètres passés à la console sont validés par le serveur.
Cependant, une vulnérabilité existe dans cette validation.
Un attaquant peut employer la console d’administration pour
provoquer un Cross Site Scripting afin de faire exécuter du code
JavaScript sur la machine de l’administrateur.
CARACTÉRISTIQUES
– Références : 54229, BID-37015, CVE-2009-2747, PK92057,
VIGILANCE-VUL-9201
– Url : http://vigilance.fr/vulnerabilite/WebSphere-AS-Cross-Site-Scripting-9201