Tema: Cross-Site Scripting en Router D-Link DSA-3100
Ver Mensaje Individual
Antiguo 30/05/2006, 13:49   #1
sabito
.
 
Avatar de sabito
 
Fecha de ingreso: 17/ene/2004
Mensajes: 45.229
sabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatarsabito Cuando busquemos reputación en Wikipedia, saldrá su avatar
Cross-Site Scripting en Router D-Link DSA-3100
Se ha anunciado una vulnerabilidad en el router D-Link DSA-3100 por la que un usuario remoto podrá construir ataques de cross-site scripting.

El problema reside en el script 'login_error.shtml' debido a que no filtra el código html desde la entrada del usuario en el parámetro 'uname' antes de mostrar la entrada. Un atacante remoto podrá crear una URL específicamente modificada para que, cuando sea cargada por el usuario atacado, provoque la ejecución de código script arbitrario.

La ejecución de código tiene como origen el interfaz del router, por lo que se ejecutará en el contexto de seguridad del dispositivo. Como resultado, el código podrá tener acceso a cookies del usuario asociadas al dispositivo (incluyendo las de autenticación), datos de accesos introducidos recientemente a través de formularios web al dispositivo, o realizar acciones en el dispositivo actuando como el usuario.

El aviso puede consultarse en http://www.securitytracker.com/alert...y/1016173.html.
sabito está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir