L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte de vulnérabilité informatique CVE-2006-5653 CVE-2007-2904

Sun Java System Messaging : Cross Site Scripting de errorHTML

Synthèse de la vulnérabilité

Un attaquant pourrait faire exécuter du code Javascript dans le navigateur d'un utilisateur à l'aide d'un mail illicite.
Systèmes vulnérables : Sun Messaging.
Gravité de cette menace : 2/4.
Conséquences d'une attaque : accès/droits client.
Origine du pirate : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 24/05/2007.
Références de cette faille : 102909, 6509577, BID-20832, CVE-2006-5653, CVE-2007-2904, VIGILANCE-VUL-6836.

Description de la vulnérabilité

Le service Webmail s'active sur Sun Java System Messaging Server afin que les utilisateurs distants consultent leurs boîtes aux lettres par l'intermédiaire d'un navigateur web.

La fonction errorHTML() du script indexant le répertoire racine ne filtre pas correctement le paramètre "error". Les données provenant de ce paramètre sont alors affichées sur le site web.

Un attaquant pourrait donc envoyer un email afin de faire exécuter du code Javascript dans le navigateur d'un utilisateur.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un patch de vulnérabilité informatique. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.