{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Symantec Web Security 6.0 pour les versions ant\u00e9rieures \u00e0  3.0.1.85.</P>","content":"## Description\n\nLe produit Symantec Web Security propose des mesures de s\u00e9curit\u00e9 au\nniveau d'une passerelle Web, comme filtrer du contenu ou faire une\nanalyse antivirale. Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans\ncelui-ci :\n\n-   la console de gestion ne v\u00e9rifierait pas correctement ses propres\n    balises HTML dans les messages d'erreur retourn\u00e9s au client. Une\n    personne malveillante pourrait effectuer une attaque de type\n    cross-site scripting afin d'ex\u00e9cuter des scripts dans les pages HTML\n    interpr\u00eat\u00e9es par le navigateur de la victime ;\n-   une personne malveillante distante pourrait utiliser l'interface\n    d'enregistrement (licence) pour envoyer un gros fichier au syst\u00e8me\n    Web Security vuln\u00e9rable. Cela ne n\u00e9cessite pas d'authentification\n    pr\u00e9alable, et peut provoquer un d\u00e9ni du service Symantec.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[],"reference":"CERTA-2007-AVI-053","revisions":[{"description":"version initiale.","revision_date":"2007-01-25T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":null,"title":"Vuln\u00e9rabilit\u00e9 de Symantec Web Security","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Symantec SYM07-001 du 24 janvier 2007","url":"http://securityresponse.symantec.com/avcenter/security/Content/2007.01.24c.html"}]}