La herramienta de creación de portales XOOPS se ve afectada por una vulnerabilidad que permite a un atacante la ejecución de código malicioso en la máquina atacada.
XOOPS es una herramienta para la creación dinámica de portales, escrito en PHP y bajo Licencia Open Source. XOOPS basada en programación orientada a objetos está dedicada especialmente al desarrollo y mantenimiento de portales Web.
Se han encontrado problemas de seguridad en XOOPS que podrían facilitar a un atacante la ejecución de código arbitrario en un cliente vulnerable, mediante la utilización de un script especialmente diseñado para ello.
El problema viene dado porque XOOPS no filtra suficientemente el código html malicioso en los mensajes emitidos. Como resultado cuando un usuario visualiza un mensaje enviado que contenga código html malicioso el código se ejecutará en el navegador del usuario.
Ejemplo:
Parches:
Xoops Upgrade xoops_v1_rc3fix5.tar.gz
http://www.xoops.org/modules/mydownloads/visit.php?lid=231
roman@hispasec.com
Más información:
Xoops RC3 vulnérable à une attaque typique IMG.
http://www.echu.org/modules/news/article.php?storyid=95
Deja un comentario