Bugtraq

 

Re: Stored XSS vulnerability in diafan.CMS

Publié le 27-04-2011 16:04 sur la mailing-list Bugtraq


Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet



: Vulnerability ID: HTB22776
: Reference: http://www.htbridge.ch/advisory/stored_xss_vulnerability_in_diafan_cms.html
: Product: diafan.CMS

: Vulnerability Details:
: User can execute arbitrary JavaScript code within the vulnerable application.
:
: The vulnerability exists due to failure in the
: "http://host/admin/site/save2/" script to properly sanitize
: user-supplied input in "text" variable. Successful exploitation of this
: vulnerability could result in a compromise of the application, theft of
: cookie-based authentication credentials, disclosure or modification of
: sensitive data.

This is the site editor functionality, correct? This requires
administrative access and is *designed* to allow the admin to enter any
HTML or script code desired.

If an attacker can access this page, couldn't they do other bad things? Is
there really a crossing of privilege boundary here?

 

Derniers contenus

L'espace d'authentification de Numéricâble dangereux

23-05-2013 à 14:53 - 0 commentaire(s)

Client de Numéricâble, prudence. L'espace d'authentification peut être piégé par un pirate informatique.

Fuite de données : la justice accuse les admins

23-05-2013 à 14:26 - 0 commentaire(s)

Si un administrateur d'un système informatique ne protège pas ses données, le "découvreur" ne risque plus d'être poursuivi pour piratage.

Skimmeur dans le Tarn

23-05-2013 à 12:30 - 0 commentaire(s)

Plusieurs dizaines de comptes bancaires piratés dans le Tarn. Un skimmeur a encore frappé.

Double authentification Twitter... ou pas

23-05-2013 à 09:39 - 0 commentaire(s)

Twitter annonce une sécurité renforcée via une double authentification. Et les autres failles ?

Danger via MySpace et DailyMotion

21-05-2013 à 09:47 - 0 commentaire(s)

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

21-05-2013 à 09:37 - 0 commentaire(s)

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

21-05-2013 à 08:28 - 0 commentaire(s)

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Cyber attaque à coups de PDF malveillants

21-05-2013 à 08:19 - 0 commentaire(s)

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Sur le même thème :

 




Hacknowledge Contest Europa-Africa La Nuit du Hack Hacking In Progress La reference des emissions TV dediees a la cybersecurite Data Security Breach - Securite pour entreprise, pme, pmi Hack Contest Abidjan


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA