Adobe
ha publicado Adobe Connect 9.4 que soluciona dos vulnerabilidades de cross-site
scripting.
Adobe Connect es una solución de
conferencias web para reuniones, aprendizaje electrónico y seminarios Web. Hace
posible el uso de soluciones de conferencias en múltiples dispositivos a través
de tecnología web.
Adobe Connect 9.4 incluye
correcciones de múltiples errores (no relacionados directamente con problemas
de seguridad) y grupos de usuarios nuevos en diferentes áreas del producto.
Pero además esta nueva versión
soluciona dos vulnerabilidades de cross-site scripting debido a que no se
filtra adecuadamente el código html introducido por el usuario antes de mostrar
la entrada. Esto permitía a usuarios remotos la ejecución
arbitraria de código script en el navegador del usuario. Con ello el atacante
podría acceder a las cookies (incluyendo las de autenticación) y a información
recientemente enviada, además de poder realizar acciones en el sitio haciéndose
pasar por la víctima. Los CVE asignados son CVE-2015-0343 y CVE-2015-0344.
Se ha proporcionado una
prueba de concepto para CVE-2015-0343:
https://[objetivo]/admin/home/homepage/search?account-id=1&filter-rows=1&filter-start=0&now=yes&query=<a
href="javascript:alert('XSS')">XSS </a>
Más información:
Adobe Connect Help /Adobe Connect 9.4 Release
Notes
XSS vulnerability Adobe Connect 9.3
(CVE-2015-0343 )
Adobe Connect
Antonio Ropero
Twitter: @aropero
