CVE-2009-2816

Loading...

Général

Score :6.8/10.0
Sévérité :Moyenne
Catégorie :Attaque par rebond
Exploit :Disponible

Métriques d'impact

Confidentialité :Partiel
Intégrité :Partiel
Disponibilité :Partiel

Métriques d'exploitabilité

Vecteur d'Accès :Réseau
Complexité d'Accès :Moyenne
Authentification :Aucune

Vulnérabilités associées

CVE-2009-0689, CVE-2009-1723, CVE-2009-2195, CVE-2009-2414, CVE-2009-2416, CVE-2009-2804, CVE-2009-2841, CVE-2009-2842, CVE-2009-3384, CVE-2010-0041, CVE-2010-0042, CVE-2010-0043, CVE-2010-0046, CVE-2010-0047, CVE-2010-0048, CVE-2010-0049, CVE-2010-0050, CVE-2010-0051, CVE-2010-0052, CVE-2010-0053, CVE-2010-0054, CVE-2010-0544, CVE-2010-1119, CVE-2010-1384, CVE-2010-1387, CVE-2010-1389, CVE-2010-1390, CVE-2010-1391, CVE-2010-1392, CVE-2010-1393, CVE-2010-1394, CVE-2010-1395, CVE-2010-1396, CVE-2010-1397, CVE-2010-1398, CVE-2010-1399, CVE-2010-1400, CVE-2010-1401, CVE-2010-1402, CVE-2010-1403, CVE-2010-1404, CVE-2010-1405, CVE-2010-1406, CVE-2010-1407, CVE-2010-1408, CVE-2010-1409, CVE-2010-1410, CVE-2010-1413, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1751, CVE-2010-1752, CVE-2010-1753, CVE-2010-1754, CVE-2010-1755, CVE-2010-1756, CVE-2010-1757, CVE-2010-1758, CVE-2010-1759, CVE-2010-1761, CVE-2010-1762, CVE-2010-1769, CVE-2010-1774, CVE-2010-1775

Publiée le 13/11/09 - Mise à jour le 19/09/17

Description

The implementation of Cross-Origin Resource Sharing (CORS) in WebKit, as used in Apple Safari before 4.0.4 and Google Chrome before 3.0.195.33, includes certain custom HTTP headers in the OPTIONS request during cross-origin operations with preflight, which makes it easier for remote attackers to conduct cross-site request forgery (CSRF) attacks via a crafted web page.

Catégorie : Attaque par rebond

CWE-352 (Injections de requêtes illégitimes par rebond (CSRF))
L'application Web ne peut pas ou ne vérifie pas suffisamment si une requête bien formatée et valide a été intentionnellement fournie par l'utilisateur qui a présenté la requête.

Avis de sécurité

US National Vulnerability DatabaseCVE-2009-2816
Agence Nationale de la Sécurité des Systèmes d'Information CERTA-2009-AVI-496, CERTA-2009-AVI-500, CERTA-2010-AVI-280
Renater 2009/VULN451, 2010/VULN226

Exploits

SecurityFocusBID-36997

Technologies associées

FournisseurProduit
applesafari
googlechrome

Partagez cette vulnérabilité avec :

Twitter Facebook LinkedIn Mail