Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de SharePoint,
afin de mener des Cross Site Scripting, ou de lire un fichier.

– Gravité : 2/4
– Date création : 14/09/2011

PRODUITS CONCERNÉS

– Microsoft Office SharePoint Portal Server
– Microsoft Office SharePoint Server
– Microsoft Windows SharePoint Services

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans Microsoft
SharePoint.

Un attaquant peut provoquer un Cross Site Scripting dans
SharePoint Calendar. [grav:2/4 ; BID-49002, CVE-2011-0653]

La méthode JavaScript toStaticHTML() filtre les scripts contenus
dans des données HTML. Elle permet de se protéger des Cross Site
Scripting. Cependant, un attaquant peut employer une feuille de
style malformée, contenant du code JavaScript, qui n’est pas
filtré par toStaticHTML(). [grav:2/4 ; BID-48199, CVE-2011-1252]

Un attaquant peut provoquer un Cross Site Scripting dans la page
EditForm.aspx. [grav:2/4 ; BID-49010, CVE-2011-1890]

Un attaquant peut provoquer un Cross Site Scripting dans l’outil
Contact Details (/Reports/Pages/Default.aspx). [grav:2/4 ;
BID-49005, CVE-2011-1891]

Un attaquant peut employer une entité XML externe, afin de lire le
contenu d’un fichier. [grav:2/4 ; BID-49511, CVE-2011-1892]

Un attaquant peut provoquer un Cross Site Scripting. [grav:2/4 ;
BID-49004, CVE-2011-1893]

Un attaquant peut employer /Docs/Lists/Announcements/NewForm.aspx
afin de rediriger la victime. [grav:1/4 ; BID-49620]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Microsoft-SharePoint-sept-vulnerabilites-10989