sábado, 14 de abril de 2012

Cross site scripting en Nimbuzz


Se ha reportado un error en Nimbuzz que lo haría vulnerable a ataques Cross Site Scripting.

Nimbuzz es un cliente de mensajería instantánea que soporta los protocolos de Windows Live Messenger, Yahoo! Messenger, ICQ, Google Talk, AIM, así como redes sociales como Facebook e incorpora voIP para realizar llamadas.

Se ha descubierto un error de filtrado en Nimbuzz cuando se muestra el historial de conversaciones en el navegador que podría permitir ataques Cross Site Scripting persistentes.

Un atacante remoto, con el que se está chateando, podría enviar una cadena de texto especialmente manipulada a través del chat y de esta forma aprovechar la vulnerabilidad para ejecutar código HTML o JavaScript arbitrario en el navegador del usuario.

Es sencillo realizar una prueba de concepto de esta vulnerabilidad, simplemente escribiendo en la ventana del chat:





y posteriormente visitando el historial de la conversación en el navegador (con la opción "Ver en navegador" o "View in browser"). El resultado se puede observar en la imagen siguiente.


Se ha comprobado que la versión actual de Nimbuzz, la 2.2.0 se ve afectada por esta vulnerabilidad. Versiones anteriores también podrían ser vulnerables.

Por el momento no existe ninguna versión que corrija este fallo, al que tampoco se ha asignado ningún identificador CVE.

También se ha encontrado que el propio sitio web de Nimbuzz resulta vulnerable a ataques XSS:


Más información:

Nimbuzz 2.2.0 Cross Site Scripting



Juan José Ruiz


1 comentario:

  1. After research just a few of the blog posts on your web site now, and I actually like your way of blogging. I bookmarked it tory burch free shipping to my bookmark website checklist and will probably be checking back soon. Pls try my web site as nicely and let me know what you think.

    ResponderEliminar