1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-378 Inyección de comandos y Cross-Site Scripting en Looking Glass.

Se reportarón varias vulnerabilidades en Looking Glass, que pueden explotarse para realizar ataques de Cross-Site Scripting y comprometer un sistema vulnerable.

  • Fecha de Liberación: 29-Ago-2005
  • Fuente: rgod
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Inyección de Comandos

Sistemas Afectados

Looking Glass 1.0
  1. Descripción

    Se reportarón varias vulnerabilidades en Looking Glass, que pueden explotarse por personas maliciosas para realizar ataques de Cross-Site Scripting y comprometer un sistema vulnerable.

    1. La entrada que se pasa al arreglo "version" dentro de footer.php y header.php no es verificada apropiadamente antes de regresarse al usuario. Esto puede explotarse para ejecutar código HTML y script arbitrarios dentro de la sesión de un usuario en el contexto de un sitio afectado.

    2. La entrada que se pasa al parámetro "target" dentro de lg.php no es verificado apropiadamente antes de utilizarse en la llamada "call()". Esto puede explotarse para inyectar comandos de shell arbitrarios via, por ejemplo, el caracter "|".

      NOTA: Los espacios en blanco son filtrados haciendo difícil la explotación.

    Las vulnerabilidades se confirmarón en la última versión disponible. Otras versiones también podrián ser afectadas.

  2. Impacto

    Cross-site Scripting

    Acceso al sistema.

  3. Solución

    Editar el código fuente para asegurarse que la entrada es verificada apropiadamente.

  4. Apéndices

    Mayor información.

    http://de-neef.net/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT