Vigil@nce - Zend framework : Cross Site Scripting de diactoros
août 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut manipuler les liens construits par le module
diactoros de Zend framework, afin de modifier la destination des
requêtes ou d’exécuter du code JavaScript dans le contexte du
site web.
Produits concernés : Zend Framework.
Gravité : 2/4.
Date création : 24/06/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Diactoros\Uri de Zend framework sert à construire des
URLs.
Le schéma ou protocole et nom d’autorité ou de serveur sont
optionnels, afin de pouvoir construire des URLs relatives.
Cependant, dans ce cas, si l’utilisateur fournit un chemin
commençant par "//", l’URI construite sera à tort interprété
comme absolu et l’utilisateur pourra créer des liens arbitraires
et éventuellement injecter un script.
Un attaquant peut donc manipuler les liens construits par le
module diactoros de Zend framework, afin de modifier la
destination des requêtes ou d’exécuter du code JavaScript dans
le contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Zend-framework-Cross-Site-Scripting-de-diactoros-17222