Non, le site de la CNIL n'est pas grand ouvert !

Suite à une faille XSS sur le site de la CNIL découverte par Zataz et dont l’info a été reprise par le Canard Enchainé, la CNIL a répondu de façon plutôt sèche Non, le site de la CNIL n’est pas grand ouvert !.

La CNIL indique en effet que la faille était mineure car :

Elle ne permettait pas de corrompre ou de modifier le site de la CNIL

Elle ne permettait pas de récupérer des données personnelles des internautes.

ou encore

Il était techniquement impossible à une personne malintentionnée de laisser une trace résiduelle de son passage ou d’exécuter un programme malveillant par simple consultation de la page.

Je ne sais pas pour vous mais pour moi il me semble que la CNIL devrait un peu nuancer ses propos.
D’abord il est possible de s’identifier sur le site. Donc il y a login et mdp c’est à dire infos personelles.
S’il y a XSS il est donc possible de détourner une session et donc d’accèder aux données personnelles des internautes identifiés sur le site.

Ensuite même si la faille est de type reflected (non permanente), cela n’empêche pas d’y injecter un code HTML destiné à exploiter une faille du navigateur… Ca nécessite un peu de SE mais ça n’a rien d’impossible.