bulletin de vulnérabilité 9798

SPIP : Cross Site Scripting de informer_auteur

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans la page SPIP informer_auteur, afin de faire exécuter du code JavaScript dans le contexte du navigateur web des visiteurs.

Gravité : 2/4. Date création : 30/07/2010.

Description de la vulnérabilité

La page "informer_auteur" de SPIP affiche des informations sur l'auteur d'un document. Le fichier prive/informer_auteur_fonctions.php contient la fonction informer_auteur(). Cependant, cette fonction ne filtre pas le paramètre "var_login". Un attaquant peut donc provoquer un Cross Site Scripting dans la page SPIP informer_auteur, afin de faire exécuter du code JavaScript dans le contexte du navigateur web des visiteurs.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : SPIP : Cross Site Scripting de informer_auteur. Mots clés : Cross JavaScript SPIP Scripting Site informer_auteur informer_auteur_fonctions var_login. Références : BID-42060, VIGILANCE-VUL-9798.

Sources d'information

Publications et annonces Exemple de source : SPIP 2.1 - XSS

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Alertes de vulnérabilité sécurité