Se
ha reportado una
vulnerabilidad en Offiria descubierta por el High-Tech Bridge Security Research
Lab. Esta vulnerabilidad podría permitir a un atacante remoto ejecutar un
ataque Cross Site Scripting.
Offiria
es una red social privada especialmente dedicada para entornos de oficina.
Permite que su equipo se mantenga bien informado, favorece la colaboración
entre departamentos y el intercambio de conocimientos e ideas.
La vulnerabilidad, con
identificador CVE-2014-2689, se debe a un error de falta de validacion de la
información proporcionada por el usuario en la URL del script "/installer/index.php/".
Un atacante malicioso podría engañar a un usuario autenticado a través de una
URL especialmente manipulada, con el objetivo final de ejecutar un ataque Cross-Site
Scripting.
Ejemplo de explotación de la
vulnerabilidad:
http://[host]/installer/index.php/%22onmouseover%3d%22alert%28%27immuniweb%27%29;%22%3d%22%3E
En este ejemplo, se visualiza la
palabra "immuniweb".
Esta vulnerabilidad se ha
reportado en la versión 2.1.0, aunque no se descarta que pudiese afectar a
versiones anteriores. Actualmente no existe ninguna solución oficial, pero como
solución temporal se recomienda quitar el script vulnerable o restringir el acceso
al mismo a través del archivo.htaccess.
Más información:
Cross-Site
Scripting (XSS) in Offiria
Juan Sánchez
