Se ha reportado una vulnerabilidad en Offiria descubierta por el High-Tech Bridge Security Research Lab. Esta vulnerabilidad podría permitir a un atacante remoto ejecutar un ataque Cross Site Scripting.
Offiriaes una red social privada especialmente dedicada para entornos de oficina. Permite que su equipo se mantenga bien informado, favorece la colaboración entre departamentos y el intercambio de conocimientos e ideas.
La vulnerabilidad, con identificador CVE-2014-2689, se debe a un error de falta de validacion de la información proporcionada por el usuario en la URL del script «/installer/index.php/«. Un atacante malicioso podría engañar a un usuario autenticado a través de una URL especialmente manipulada, con el objetivo final de ejecutar un ataque Cross-Site Scripting.
Ejemplo de explotación de la vulnerabilidad:
http://[host]/installer/index.php/%22onmouseover%3d%22alert%28%27immuniweb%27%29;%22%3d%22%3E
En este ejemplo, se visualiza la palabra «immuniweb«.
Esta vulnerabilidad se ha reportado en la versión 2.1.0, aunque no se descarta que pudiese afectar a versiones anteriores. Actualmente no existe ninguna solución oficial, pero como solución temporal se recomienda quitar el script vulnerable o restringir el acceso al mismo a través del archivo.htaccess.
Más información:
Cross-Site Scripting (XSS) in Offiria
Juan Sánchez
Deja un comentario