Se ha descubierto un error de validación en Oracle HTTP Server. Este
problema puede permitir a un atacante remoto realizar ataques del tipo
Cross-Site Scripting (XSS).
Se ha descubierto que el script ‘isqlplus’ no filtra adecuadamente las
entradas dadas por los usuarios en los parámetros ‘action’, ‘username’
y ‘password’. Un usuario remoto puede enviar una URL especialmente
creada que, una vez cargada por la víctima, permitirá la ejecución de
código script en el navegador de la víctima.
Como resultado, este código puede acceder a las cookies asociadas con
el sitio web (lo que incluye las de autenticación), o incluso acceder
a datos enviados recientemente por la víctima, o realizar acciones en
el web actuando como dicha víctima.
Se han dado algunas URLs como ejemplo:
http://[target]/isqlplus?action=logon&username=sdfds%22%3e%3cscript%3ealert(‘XSS’)%3c/script%3e\&password=dsfsd%3cscript%3ealert(‘XSS’)%3c/script%3e
http://[target]/isqlplus?action=alert(‘XSS’)
Por el momento la compañía no ha publicado parches para corregir este
problema, por lo que se recomienda utilizar, por ejemplo, un proxy o
un firewall que filtre las entradas maliciosas.
jcanto@hispasec.com
Más información:
Oracle HTTP Server ‘isqlplus’ Input Validation Flaws Let Remote Users
Conduct Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2004/Jan/1008838.html
Deja un comentario