Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut manipuler les liens construits par le module
diactoros de Zend framework, afin de modifier la destination des
requêtes ou d’exécuter du code JavaScript dans le contexte du
site web.

Produits concernés : Zend Framework.

Gravité : 2/4.

Date création : 24/06/2015.

DESCRIPTION DE LA VULNÉRABILITÉ

Le module Diactoros\Uri de Zend framework sert à construire des
URLs.

Le schéma ou protocole et nom d’autorité ou de serveur sont
optionnels, afin de pouvoir construire des URLs relatives.
Cependant, dans ce cas, si l’utilisateur fournit un chemin
commençant par "//", l’URI construite sera à tort interprété
comme absolu et l’utilisateur pourra créer des liens arbitraires
et éventuellement injecter un script.

Un attaquant peut donc manipuler les liens construits par le
module diactoros de Zend framework, afin de modifier la
destination des requêtes ou d’exécuter du code JavaScript dans
le contexte du site web.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Zend-framework-Cross-Site-Scripting-de-diactoros-17222