Vigil@nce : CA SiteMinder, Cross Site Scripting via WebWorks Help
mars 2010 par Vigil@nce
Un attaquant peut employer l’aide WebWorks afin de provoquer un
Cross Site Scripting dans CA SiteMinder.
– Gravité : 2/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 05/03/2010
PRODUITS CONCERNÉS
– CA SiteMinder
DESCRIPTION DE LA VULNÉRABILITÉ
Le format WebWorks Help (wwhelp) permet de créer des aides en
ligne. Il est utilisé par le produit CA SiteMinder.
Cependant, un Cross Site Scripting a été annoncé dans WebWorks
Help. Il impacte aussi CA SiteMinder.
Un attaquant peut donc inviter la victime à consulter une url
illicite, afin de faire exécuter du code JavaScript dans le
contexte du produit CA SiteMinder.
CARACTÉRISTIQUES
– Références : CA20100304-01, CVE-2009-3731, VIGILANCE-VUL-9499
– Url : http://vigilance.fr/vulnerabilite/CA-SiteMinder-Cross-Site-Scripting-via-WebWorks-Help-9499