Bonjour,
j'experimente un probleme de secu au boulot sur un serveur d'application tomcat couplé a cocoon (version respectives : 5.0.28 et 2.0.4).
La faille est une faille de cross-site scripting, elle peut etre exploitée par l'url suivante :
https://localhost/monAppli/main%25(...)[javascript malicieux]
l'appel a https://localhost/monAppli/main%25(...) me retourne une page d'erreur cocoon ( URLDecoder: Incomplete trailing escape (%) pattern ), ce qui me laisse penser que c'est cocoon qui est en cause.
j'ai fouille google tant que j'ai put, j'ai trouve plein (…)