Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Cross-Site scripting en Oracle Reports Server

Cross-Site scripting en Oracle Reports Server

Por Deja un comentario

Se ha anunciado una vulnerabilidad de validación de entradas en un
script de ejemplo de Oracle Reports Server que podrá ser empleado por
atacantes remotos para realizar ataques de cross-site scripting.

El problema se encuentra exactamente en el script de ejemplo ‘test.jsp’
que no valida adecuadamente las entradas de los usuarios. Un usuario
remoto podrá crear una URL específica, que cuando sea cargada por el
usuario atacado provocará que se ejecute código script arbitrario en
el navegador de dicho usuario.

El código tendrá como origen el sitio del servidor Oracle Reports y se
ejecutará en el contexto de seguridad de este sitio. Como resultado,
este código será capaz de acceder a las cookies del usuario (incluidas
las cookies de autenticación) asociadas al servidor, datos de accesos
recientes o realizar acciones en el sitio actuando como el usuario
atacado.

Se han proporcionado algunas URLs de ejemplo de la vulnerabilidad:
http://[servidor]/reports/examples/Tools/test.jsp?repprod&desname=’alert(document.cookie);
http://[servidor]/reports/examples/Tools/test.jsp?repprod»alert(document.cookie);

Antonio Ropero
antonior@hispasec.com

Más información:

Oracle Reports Server Example Script Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/Mar/1013560.html

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.