Vigil@nce : Horde, Cross Site Scripting
juin 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut provoquer trois Cross Site Scripting dans les
produits Horde.
Gravité : 2/4
Conséquences : accès/droits client
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 16/06/2008
Référence : VIGILANCE-VUL-7896
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION
Les produits Horde, Turba, Horde Groupware et Horde Groupware
Webmail Edition partagent le même code source, et donc les mêmes
vulnérabilités de type Cross Site Scripting.
Les noms de contacts ne sont pas échappés dans la vue "contact",
ce qui affecte Turba, Horde Groupware 1.1.x, et Horde Groupware
Webmail Edition 1.1.x. [grav:2/4 ; BID-29745]
Les noms d’éléments ne sont pas échappés dans la navigateur
d’objets, ce qui affecte Horde, Horde Groupware et Horde Groupware
Webmail Edition. [grav:2/4]
Les paramètres de la page d’ajout d’évènement ne sont pas
échappés, ce qui affecte Horde Groupware 1.0.x et Horde Groupware
Webmail Edition 1.0.x. [grav:2/4]
CARACTÉRISTIQUES
Références : BID-29745, VIGILANCE-VUL-7896