Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

alerte de vulnérabilité CVE-2010-2543 CVE-2010-2544 CVE-2010-2545

Cacti : multiples Cross Site Scripting

Synthèse de la vulnérabilité

Plusieurs Cross Site Scripting de Cacti permettent à un attaquant de faire exécuter du code JavaScript dans le contexte du site web.
Gravité : 2/4.
Date création : 12/07/2010.

Description de la vulnérabilité

Le produit Cacti utilise une base de données MySQL et RRDtool (Round Robin Database), pour stocker les informations. Les graphes sont affichés sur un site Apache+PHP.

Plusieurs scripts PHP ne filtrent pas les données avant de les afficher : auth_login.php, cdef.php, data_input.php, data_queries.php, data_sources.php, data_templates.php, gprint_presets.php, graph.php, graphs_new.php, graphs.php, graph_templates_inputs.php, graph_templates_items.php, graph_templates.php, graph_view.php, host.php, host_templates.php, lib/functions.php, lib/html_form.php, lib/html.php, lib/html_tree.php, lib/rrd.php, rra.php, templates_import.php, tree.php, user_admin.php, et utilities.php.

Un attaquant peut donc faire exécuter du code JavaScript dans le contexte du site web Cacti.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Cacti : multiples Cross Site Scripting.
Mots clés : Apache Cacti Cross Database JavaScript MySQL PHP RRDtool Robin Round Scripting Site auth_login data_input data_queries data_sources data_templates gprint_presets graph_templates graph_templates_inputs graph_templates_items graph_view graphs_new host_templates html_form html_tree multiples templates_import user_admin.
Références : BID-42575, CVE-2010-2543, CVE-2010-2544, CVE-2010-2545, MDVSA-2010:160, RHSA-2010:0635-01, VIGILANCE-VUL-9751.

Sources d'information

Publications et annonces
Exemple de source : Cacti 0.8.7g Change Log

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Service de veille sur les vulnérabilités informatiques



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version