Autor
Nimbuzz es un cliente de mensajería instantánea que soporta los protocolos de Windows Live Messenger, Yahoo! Messenger, ICQ, Google Talk, AIM, así como redes sociales como Facebook e incorpora voIP para realizar llamadas.
Se ha descubierto un error de filtrado en Nimbuzz cuando se muestra el historial de conversaciones en el navegador que podría permitir ataques Cross Site Scripting persistentes.
Un atacante remoto, con el que se está chateando, podría enviar una cadena de texto especialmente manipulada a través del chat y de esta forma aprovechar la vulnerabilidad para ejecutar código HTML o javascript arbitrario en el navegador del usuario.
Es sencillo realizar una prueba de concepto de esta vulnerabilidad, simplemente escribiendo en la ventana del chat:
y posteriormente visitando el historial de la conversación en el navegador (con la opción "Ver en navegador" o "View in browser"). El resultado se puede observar en la imagen siguiente.
Se ha comprobado que la versión actual de Nimbuzz, la 2.2.0 se ve afectada por esta vulnerabilidad. Versiones anteriores también podrían ser vulnerables.
Por el momento no existe ninguna versión que corrija este fallo, al que tampoco se ha asignado ningún identificador CVE.
También se ha encontrado que el propio sitio web de Nimbuzz resulta vulnerable a ataques XSS:
Más información:
Nimbuzz 2.2.0 Cross Site Scripting http://st2tea.blogspot.com.es/2012/04/nimbuzz-220-cross-site-scripting.html
FUENTE :http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-en-nimbuzz
En línea
