|
Título: Cross-site scripting en Apache 1.3.x y 2.2.x Publicado por: YaTaMaS en 19 Diciembre 2007, 13:39 pm Se ha encontrado una vulnerabilidad en Apache que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.
* La vulnerabilidad que afecta a las versiones 1.3.x está localizada en la función mod_imap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código javascript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imap esté activado y sus ficheros accesibles de forma pública. * La vulnerabilidad que afecta a las versiones 2.2.x está localizada en la función mod_imagemap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código javascript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imagemap esté activado y sus ficheros accesibles de forma pública. La vulnerabilidad está confirmada para las versiones 1.3.39, 1.3.37, 1.3.36, 1.3.35, 1.3.34, 1.3.33, 1.3.32, 1.3.31, 1.3.29, 1.3.28, 1.3.27, 1.3.26, 1.3.24, 1.3.22, 1.3.20, 1.3.19, 1.3.17, 1.3.14, 1.3.12, 1.3.11, 1.3.9, 1.3.6, 1.3.4, 1.3.3, 1.3.2, 1.3.1 y 1.3.02.2.6. También está confirmada para las versiones 2.2.5, 2.2.4, 2.2.3, 2.2.2 y 2.2.0. Se recomienda actualizar a la versiones de desarrollo 1.3.40-dev o 2.2.7-dev, donde se han subsanado los problemas de seguridad. Están disponibles desde: http://httpd.apache.org/download.cgi Apache httpd 1.3 vulnerabilities http://httpd.apache.org/security/vulnerabilities_13.html Apache httpd 2.2 vulnerabilities http://httpd.apache.org/security/vulnerabilities_22.html @hispasec.com Título: Re: Cross-site scripting en Apache 1.3.x y 2.2.x Publicado por: Zion1024 en 23 Diciembre 2007, 11:21 am mas un XXS para estudiar
Gracias por la informacion. :D Título: Re: Cross-site scripting en Apache 1.3.x y 2.2.x Publicado por: -sagitari- en 23 Diciembre 2007, 13:30 pm La red está llena de XSS's...
La gracia es saber explotarlo de forma "sabia" , yo una vez accedí a toda una página gracias a una vulnerabilidad xss que tenía de robarle la cookie al admin y el admin fue tan tonto que picó en una "trampa" que le tendí para obtener su cookie. |