Rejoignez-nous sur #zone-h @ irc.eu.freenode.net
RECHERCHE
Menu principal
Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
 Attaques Francophones
 Archive des attaques
 Archive des attaques 
 Notifier defacements
Restez à l'écoute
 Inscription Listes de diffusion
Zone publique active
 T'chat IRC
 Contact
 Performances du Staff
 Le Staff de Zone-H
AVIS DE SECURITE
Photocycle - Cross-Site Scripting via le paramètre "phpage"
 
Avis de sécurité ZHFR-1483
Date de publication: 14/07/2006
Vulnérabilité: Erreur de validation des entrées
Impact: Cross-site scripting
D'où: A distance
Risque: Modéré
Solution: Correctif
SE: Tous
Produit: Photocycle
Versions affectées: 1.x

Détails:
Luny a identifié une vulnérabilité dans Photocycle. Celle-ci pourrait être exploitée par des personnes malicieuses afin de conduire des attaques par cross-site scripting.

Les entrées passées au paramètre "phpage" ne sont pas correctement vérifiées avant d'être retournées à l'utilisateur. Cela pourrait être exploité afin d'exécuter du code HTML et des scripts arbitraires dans la session du navigateur d'un utilisateur, dans le contexte d'un site affecté.

La vulnérabilité a été confirmée dans la version 1.0. D'autres versions peuvent également être affectées.

Solution:
Mise à jour vers la version 1.1.
http://adambrown.info/p/tools/photocycle

Références:
http://secunia.com/advisories/21054/
http://www.youfucktard.com/blog/2006/07/13/photocycle-v10-xss/ Avis original

Crédits:
Vulnérabilité découverte par Luny.

  En parler sur le forum...
  S'inscrire à la liste de diffusion...

Creative Commons License
Le contenu de ce site est sous Contrat Public Creative Commons.