Risque
- Injection de code indirecte (cross site scripting)
Systèmes affectés
Les versions de Bugzilla antérieures à 3.2.3 et 3.3.4.
Résumé
Une vulnérabilité permettant une injection de code indirecte a été corrigée dans les dernières versions de Bugzilla.
Description
Un module CGI ne validant pas la provenance des requêtes permet de réaliser une injection de code indirecte au moyen d'une requête spécifiquement construite.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Bugzilla du 30 mars 2009 http://www.bugzilla.org/security/3.2.2/