sábado, 24 de marzo de 2007

Cross site scripting en Oracle Server 10g

Se ha encontrado una vulnerabilidad en Oracle Application Server que puede ser aprovechada por atacantes para ejecutar código script arbitrairo.

El fallo se debe a un error de validación en la entrada del DMS (Dynamic Monitoring Service) a la hora de procesar el parámetro "table". Esto puede ser aprovechado por atacantes para que se ejecute código script arbitrario en el navegador del usuario bajo el contexto de la página afectada.

Se ven afectados los Oracle Application Server 10g Release 2 (10.1.2), no existe parche oficial.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Application Server "table" Parameter Handling Cross Site Scripting Vulnerability
http://www.frsirt.com/english/advisories/2007/1078