Présentation

Une injection de type XSS est possible dans eonweb, le paramètre d’injection est url. Un utilisateur identifié peut executer du code javascript par exemple sur l’interface eonweb. Cette faille nécessite donc une authentification et est plus propice à une attaque par fishing. Elle ne présente donc pas un danger important.

Exploitation

Nous n’avons aucune connaissance d’une exploitation de cette faille à ce jour.

Versions concernée(s)

EON 5.3 (Toutes les versions jusqu’à la 5.3-8)

Versions patchées

Toutes les versions d’EON après la version :

EON 5.3-9

Correction

Télécharger la dernière version d’EON patchée.

Liens relatifs

https://github.com/EyesOfNetworkCommunity/eonweb/issues/67