S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 18 avril 2008
N° CERTA-2008-AVI-217
Affaire suivie par: CERT-FR
le 18 avril 2008

Avis du CERT-FR

Objet: Vulnérabilité dans BusinessObjects XI

Gestion du document

Référence CERTA-2008-AVI-217
Titre Vulnérabilité dans BusinessObjects XI
Date de la première version 18 avril 2008
Date de la dernière version 18 avril 2008
Source(s) Bulletin de sécurité de BusinessObjects XI d'avril 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte (XSS).

Systèmes affectés

BusinessObjects XI SP3 FP3.4 et antérieures

Résumé

BusinessObjects XI est un gestionnaire de contenu en ligne (CMS) vulnérable à une attaque de type XSS.

Description

Les valeurs passées lors de l'identification ne sont pas correctement validées. Une personne malveillante peut, à l'aide de paramètres spécialement écrits, exécuter indirectement du code dans le navigateur de l'utilisateur avec le niveau de confiance associé au site utilisant BusinessObjects XI.

Solution

Se référer au bulletin de sécurité de BusinessObjects XI d'avril pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 18 avril 2008
    version initiale.