Risque
- Injection de code indirecte à distance ;
- injection de requêtes illégitime par rebond.
Systèmes affectés
- Alcatel-Lucent OmniTouch 8400 Instant Communicaion Suite ;
- Alcatel-Lucent Business integrated Communication Solution.
Résumé
Plusieurs vulnérabilités ont été corrigées dans Alcatel OmniTouch Instant Communication Suite et permettent à une personne malintentionnée de réaliser une injection de code indirecte à distance (XSS) ou une injection de requêtes illégitime par rebond (CSRF).
Description
Plusieurs vulnérabilités ont été corrigées dans Alcatel OmniTouch Instant Communication Suite. Une vulnérabilité dans la partie «WebAdmin» permet à une personne maintentionnée de réaliser une injection de code indirecte à distance. Plusieurs vulnérabilités concernant la partie «Websoftphone» permettent à une personne maintentionnée de réaliser une injection de requêtes illégitime par rebond.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Alcatel-Lucent 2011003 du 24 octobre 2011 :
http://www.alcatel-lucent.com/wps/DocumentStreamerServlet?LMSG_CABINET=Corporate&LMSG_CONTENT_FILE=Support/Security/2011003.pdf - Référence CVE CVE-2011-4058 :
https://www.cve.org/CVERecord?id=CVE-2011-4058 - Référence CVE CVE-2011-4059 :
https://www.cve.org/CVERecord?id=CVE-2011-4059