L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données et des outils pour y remédier.

Vulnérabilité de SpeedTouch : Cross Site Scripting

Synthèse de la vulnérabilité

Le paramètre "name" de la page LocalNetwork peut être utilisé pour mener une attaque de type Cross Site Scripting.
Gravité de ce bulletin : 2/4.
Date création : 28/02/2006.
Références de cette menace : BID-16839, CVE-2006-0947, VIGILANCE-VUL-5655.

Description de la vulnérabilité

Le modem SpeedTouch dispose d'une interface d'administration web.

La page de l'interface réseau locale (LocalNetwork) utilise un paramètre "name". Ce paramètre est réaffiché sans être préalablement purgé.

Un attaquant peut donc créer une url illicite et inviter l'utilisateur à se connecter sur l'interface d'administration. Le code JavaScript contenu dans le lien cliqué sera alors exécuté dans le contexte du modem.

Cette vulnérabilité permet ainsi à l'attaquant d'effectuer des opérations d'administrations, lorsque l'utilisateur clique sur le lien.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette menace concerne les logiciels ou systèmes comme SpeedTouch.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par un tiers de confiance, avec une provenance de document.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette faille informatique.

Solutions pour cette menace

Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des annonces de vulnérabilité de logiciel. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.