Ghusse's

Eh oui, encore une.

Je l’ai découverte ce matin (dans le métro en y repensant). Elle était tellement évidente que je n’y ai pas pensé tout de suite.

Cette faille XSS permet, comme la précédente, à une personne mal intentionnée d’exécuter des actions avec les privilèges administrateur par l’intermédiaire de javascript.

Cela se produit à cause de l’interface de proposition de modules par les utilisateurs, modules qui doivent être validés par un administrateur. Lors de cette phase de validation, le module est prévisualisé. S’exécute alors tout son code Javascript (c’est normal pour les modules bien intentionnés). Cependant le code peut servir à lancer des actions sur le serveur avec des privilèges de l’utilisateur qui prévisualise : l’administrateur.

Et ce, sans son consentement ni moyen de s’en prémunir.

Recommandation : laissez la soumission de module désactivée (normalement elle l’est depuis longtemps non ?).