Vigil@nce : FortiAnalyzer, deux Cross Site Scripting
septembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux Cross Site Scripting de
FortiAnalyzer, afin de faire exécuter du code JavaScript dans le
contexte de l’interface d’administration web.
– Gravité : 2/4
– Date création : 14/09/2011
PRODUITS CONCERNÉS
– Fortinet FortiAnalyzer
– Fortinet FortiAnalyzer Virtual Appliance
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités affectent l’interface web de FortiAnalyzer
Centralized Reporting.
Un attaquant peut injecter du code JavaScript permanent dans le
paramètre "Filter Value on Log Access IPS Attack". [grav:2/4]
Un attaquant peut interagir avec la victime pour injecter du code
JavaScript dans le paramètre "Edit Device Group". [grav:1/4]
Un attaquant peut donc employer deux Cross Site Scripting de
FortiAnalyzer, afin de faire exécuter du code JavaScript dans le
contexte de l’interface d’administration web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/FortiAnalyzer-deux-Cross-Site-Scripting-10990