Periscope BuySpeed est vulnérable aux scripts cross-site stockés

Aperçu

Periscope BuySpeed ​​version 14.5 est vulnérable aux cross-site scripting stockés, ce qui peut permettre à un attaquant local authentifié d'exécuter du JavaScript arbitraire.

La description

Periscope BuySpeed ​​est un "outil pour automatiser l'intégralité du processus d'approvisionnement-à-payer de manière efficace et intelligente". BuySpeed ​​version 14.5 est vulnérable aux cross-site scripting stockés, ce qui pourrait permettre à un attaquant local authentifié de stocker du JavaScript arbitraire dans l'application. Ce JavaScript est ensuite affiché par l'application sans nettoyage, ce qui entraîne son exécution dans le navigateur de l'utilisateur. Cela pourrait potentiellement permettre la redirection de sites Web, le détournement de session ou la divulgation d'informations.

Impact

Un attaquant local authentifié pourrait ajouter du JavaScript arbitraire dans l'application qui s'exécuterait dans le navigateur de tout utilisateur qui le consulte, ce qui pourrait permettre la redirection de sites Web, le détournement de session ou la divulgation d'informations.

Solution

Cette vulnérabilité a été corrigée dans BuySpeed ​​version 15.3.

 

Source : US Cert