miércoles, 6 de mayo de 2009

Vulnerabilidades Cross Site Scripting en Sun GlassFish Enterprise Server

Se ha anunciado la existencia de múltiples vulnerabilidades en Sun GlassFish Enterprise Server 2.1 (y anteriores), que pueden ser explotadas por un atacante para lograr la ejecución de código script.

Sun GlassFish Enterprise Server es un servidor de aplicaciones compatible con la plataforma JavaTM Enterprise Edition (Java EE) 5 que se utiliza para el desarrollo y la implementación de aplicaciones Java EE y servicios web de Java. El uso de este servidor para la producción no supone ningún coste, es gratuito si se utiliza para el desarrollo, la implementación y la redistribución.

Los problemas anunciados están provocados por errores de validación de entradas en diversos scripts cuando procesa URLs introducidas por el usuario, lo que puede ser empleado por un atacante para ejecutar código script arbitrario que se ejecutará en el navegador del usuario en el contexto de seguridad del sitio web afectado.

Se encuentran disponibles actualizaciones a través de CVS:
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29669
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29668
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29675


Antonio Ropero
antonior@hispasec.com


Más información:

[DSECRG-09-034] Sun Glassfish Enterprise Server - Multiple Linked XSS vulnerabilies
http://dsecrg.com/pages/vul/show.php?id=134

No hay comentarios:

Publicar un comentario en la entrada