jueves, 14 de enero de 2010

Cross Site Scripting en una plantilla de error de Zope

Se ha anunciado una vulnerabilidad en diversas versiones de Zope que podría ser explotada por un atacante remoto para construir ataques de cross site scripting.

Zope es un servidor de aplicaciones, escrito en lenguaje Python. Su extrema flexibilidad, características novedosas (base de datos de "objetos", fácil extensibilidad, componentes) y su bajo precio (se trata de una solución "open source") lo hacen especialmente atractivo para desarrollos web.

El problema se debe a un error de validación de entradas relacionado con la plantilla "standard_error_message", que podría ser explotado por atacantes remotos para provocar la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se ven afectadas las versiones de Zope anteriores a la 2.8.12, 2.9.12, 2.10.11, 2.11.6 o 2.12.3. Se recomienda actualizar a cualquiera de estas versiones:
http://www.zope.org/Products/Zope/


Antonio Ropero
antonior@hispasec.com


Más información:

[Zope-Annce] New Zope2 releases available
https://mail.zope.org/pipermail/zope-announce/2010-January/002229.html

No hay comentarios:

Publicar un comentario en la entrada