bulletin de vulnérabilité 9768

Juniper Secure Access : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut employer la page de déconnexion, afin de provoquer un Cross Site Scripting dans IVE/Secure Access.

Gravité : 2/4. Date création : 15/07/2010.

Description de la vulnérabilité

La page de déconnexion (logout) web peut être accédée via l'url "welcome.cgi?p=logout&u=user". Cette page affiche les données passées au paramètre "u=" sans les filtrer correctement. Si le paramètre "u" contient du code JavaScript, il est exécuté dans le contexte du navigateur web de la victime. Un attaquant peut donc employer la page de déconnexion, afin de provoquer un Cross Site Scripting dans IVE/Secure Access.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Juniper Secure Access : Cross Site Scripting. Mots clés : Access Cross IVE JavaScript Juniper Scripting Secure Site. Références : BID-41664, PR09-16, VIGILANCE-VUL-9768.

Sources d'information

Publications et annonces

Compléments

Attaque Outil d'attaque ou exploit 0day

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Base de vulnérabilités informatiques