Se ha anunciado una vulnerabilidad en diversas versiones de Zope que podría ser explotada por un atacante remoto para construir ataques de cross site scripting.
Zope es un servidor de aplicaciones, escrito en lenguaje Python. Su extrema flexibilidad, características novedosas (base de datos de «objetos», fácil extensibilidad, componentes) y su bajo precio (se trata de una solución «open source») lo hacen especialmente atractivo para desarrollos web.
El problema se debe a un error de validación de entradas relacionado con la plantilla «standard_error_message», que podría ser explotado por atacantes remotos para provocar la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.
Se ven afectadas las versiones de Zope anteriores a la 2.8.12, 2.9.12, 2.10.11, 2.11.6 o 2.12.3. Se recomienda actualizar a cualquiera de estas versiones:
http://www.zope.org/Products/Zope/
antonior@hispasec.com
Más información:
[Zope-Annce] New Zope2 releases available
https://mail.zope.org/pipermail/zope-announce/2010-January/002229.html
Deja una respuesta