Vigil@nce - Oracle GlassFish Server : Cross Site Scripting via login
août 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut saisir un nom de login illicite sur l’interface
d’administration de Oracle GlassFish Server, afin de faire
exécuter du code JavaScript dans le contexte de l’administrateur
qui consultera les logs.
Gravité : 2/4
Date création : 20/07/2011
PRODUITS CONCERNÉS
– Oracle GlassFish Enterprise Server
DESCRIPTION DE LA VULNÉRABILITÉ
L’interface d’administration web de Oracle GlassFish Server écoute
sur le port 4848/tcp. Un login et un mot de passe sont nécessaires
pour y accéder.
Lorsque l’utilisateur saisit une authentification invalide, elle
est journalisée. L’administrateur peut ensuite consulter les logs
et voir le nom de l’utilisateur qui n’a pas réussi à
s’authentifier.
Cependant, le nom de login saisi par l’utilisateur n’est pas
filtré, avant d’être enregistré dans les logs. De même, les
enregistrements de logs ne sont pas filtrés avant d’être affichés.
Si le nom de login contient du code JavaScript, il est alors
affiché dans la page de logs consultée par l’administrateur.
Un attaquant peut donc saisir un nom de login illicite sur
l’interface d’administration de Oracle GlassFish Server, afin de
faire exécuter du code JavaScript dans le contexte de
l’administrateur qui consultera les logs.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Oracle-GlassFish-Server-Cross-Site-Scripting-via-login-10858