Se ha anunciado la existencia de múltiples vulnerabilidades en Sun GlassFish Enterprise Server 2.1 (y anteriores), que pueden ser explotadas por un atacante para lograr la ejecución de código script.
Sun GlassFish Enterprise Server es un servidor de aplicaciones compatible con la plataforma JavaTM Enterprise Edition (Java EE) 5 que se utiliza para el desarrollo y la implementación de aplicaciones Java EE y servicios web de Java. El uso de este servidor para la producción no supone ningún coste, es gratuito si se utiliza para el desarrollo, la implementación y la redistribución.
Los problemas anunciados están provocados por errores de validación de entradas en diversos scripts cuando procesa URLs introducidas por el usuario, lo que puede ser empleado por un atacante para ejecutar código script arbitrario que se ejecutará en el navegador del usuario en el contexto de seguridad del sitio web afectado.
Se encuentran disponibles actualizaciones a través de CVS:
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29669
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29668
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29675
antonior@hispasec.com
Más información:
[DSECRG-09-034] Sun Glassfish Enterprise Server – Multiple Linked XSS vulnerabilies
http://dsecrg.com/pages/vul/show.php?id=134
Deja una respuesta