Avis de sécurité ZHFR-857
| Date de publication: | 29/01/2006 | |
Auteur: Aliaksandr Hartsuyeu
Vulnérabilité: Erreur de validation de données
Impact: Cross Site Scripting
D'où: A distance
Risque: 
Moyen
Solution: Pas de correctif
SE: Tous
Produit: CheesyBlog
Versions affectées: 1.xDétails:
Aliaksandr Hartsuyeu a identifié plusieurs vulnérabilités dans CheesyBlog. Celles-ci pourraient être exploitées par une personne malicieuse pour effectuer des attaques de type insertion de scripts.
Les données passées à plusieurs champs lors du post d'un commentaire ne sont pas correctement filtrées avant d'être utilisées. Ceci peut être exploité pour injecter du code HTML ou des scripts arbitraires qui seront exécutés dans la session du navigateur d'un utilisateur dans le contexte d'un site affecté lorsqu'un commentaire malicieux est lu.
Les vulnérabilités ont été confirmées dans la version 1.4 et ont également été identifiées dans la version 1.0. D'autres versions peuvent par ailleurs être affectées.
Solution:
Pas de correctif.
Editer la source de façon à ce que les données soient correctement filtrées.
Références:
http://secunia.com/advisories/18610/
http://evuln.com/vulns/49/summary.html Avis original
En parler sur le forum...
S'inscrire à la liste de diffusion...
