Revelación de información sensible por Cross site scripting en ASP.NET 2.0

También incluido en el conjunto de boletines de seguridad de Microsoft
del pasado martes, se encuentra el anuncio de una vulnerabilidad de
cross site scripting en servidores que ejecuten una versión vulnerable
de .Net Framework 2.0, y que podría permitir inyectar código script en
el navegador del usuario.

Si un atacante aprovecha este problema, el script podría permitir
falsificar contenido, revelación de información, o ejecutar cualquier
acción que el usuario pudiese realizar en la página web. Para que el
ataque tenga éxito se requiere de la interacción del usuario.

El fallo está relacionado con la propiedad AutoPostBack y la forma en
la que NET Framework 2.0 valida el valor de una petición HTTP.

Actualice los sistemas afectados mediante Windows Update o descargando
los parches desde:
http://www.microsoft.com/downloads/details.aspx?FamilyId=34C375AA-2F54-4416-B1FC-B73378492AA6&displaylang=es

Más información:

Microsoft Security Bulletin MS06-056
Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure
http://www.microsoft.com/technet/security/bulletin/ms06-056.mspx

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog