Vigil@nce - OTRS : Cross Site Scripting
avril 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer plusieurs Cross Site Scripting dans
OTRS, afin de faire exécuter du code JavaScript dans le navigateur
web des visiteurs.
Gravité : 2/4
Date création : 12/04/2011
PRODUITS CONCERNÉS
– OTRS
DESCRIPTION DE LA VULNÉRABILITÉ
Le service OTRS permet de gérer des tickets d’incidents via un
site web.
Cependant, plusieurs pages d’OTRS ne filtrent pas correctement
leurs paramètres avant de les afficher :
– Kernel/Output/HTML/Layout.pm
- Kernel/Output/HTML/Lite/Warning.dtl
- Kernel/Output/HTML/Standard/CustomerError.dtl
- Kernel/Output/HTML/Standard/CustomerFooter.dtl
- Kernel/Output/HTML/Standard/CustomerTicketSearchResultShort.dtl
- Kernel/Output/HTML/Standard/CustomerWarning.dtl
- Kernel/Output/HTML/Standard/Error.dtl
- Kernel/Output/HTML/Standard/FooterJS.dtl
- Kernel/Output/HTML/Standard/Warning.dtl
Un attaquant peut donc provoquer plusieurs Cross Site Scripting
dans OTRS, afin de faire exécuter du code JavaScript dans le
navigateur web des visiteurs.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OTRS-Cross-Site-Scripting-10544