Vigil@nce : Windows, Cross Site Scripting de AD Certificate Services Web Enrollment
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans le site
web Active Directory Certificate Services Web Enrollment, afin
d’exécuter du code script dans le contexte du navigateur web de la
victime.
– Gravité : 2/4
– Date création : 15/06/2011
PRODUITS CONCERNÉS
– Microsoft Windows 2003
– Microsoft Windows 2008
DESCRIPTION DE LA VULNÉRABILITÉ
Le service Active Directory Certificate Services permet de gérer
les certificats à clé publique.
Cependant, le site web AD CS Web Enrollment ne filtre pas les
paramètres qu’il reçoit, avant de les afficher dans les pages HTML
qu’il génère.
Un attaquant peut donc provoquer un Cross Site Scripting dans le
site web Active Directory Certificate Services Web Enrollment,
afin d’exécuter du code script dans le contexte du navigateur web
de la victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET