domingo, 1 de febrero de 2009

Cross-site scripting en Oracle Application Server 10g

Se ha encontrado una vulnerabilidad en Oracle Application Server 10g que podría ser explotada por un atacante remoto para perpetrar ataques de cross-site scripting.

La vulnerabilidad está causada porque las entradas pasadas en el parámetro 'site2pstoretoken' de login.jsp y en el parámetro 'search_type' no son limpiadas de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para ejecutar código JavaScript o HTML en el contexto de de la sesión del navegador de un usuario que visita un sitio web afectado.

La vulnerabilidad está confirmada para la versión 10.1.3 de Oracle Application Server Portal, aunque puede afectar a otras versiones.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Application Server 10g Cross Site Scripting Vulnerability
http://archives.neohapsis.com/archives/bugtraq/2009-01/0281.html

No hay comentarios:

Publicar un comentario en la entrada