- Otras noticias
Desbordamiento de bufer en control ActiveX de Internet Explorer
Las vacaciones y el robo de identidad van de la mano
Un nuevo virus podría amenazar las cuentas bancarias de Internet, según el SANS
El captcha de Hotmail, vulnerado en 6 segundos
Actualizaciones de seguridad para Debian Linux
Detectada una nueva versión del programa chantajista "Gpcode"
Cómo saber si eres una víctima más de “Operation Ghost Clic” 
Microsoft confirma un grave problema de seguridad "compartido" con cientos de aplicaciones de terceros
Parches Críticos de julio para múltiples productos Oracle
Malware sofisticado
- En el foro
-
VULNERABILIDADES
Vulnerabilidad cross site scripting en BEA WebLogic 8.1
02 May 2005 | HISPASEC.COM.jpg)
La función 'JndiFramesetAction' no valida de forma adecuada las
entradas del parámetro, por lo que un usuario remoto puede crear una URL maliciosa que, una vez cargada por una víctima con perfil de administrador, provocaría la ejecución de código script en su navegador.
El código se originaría desde el software de administración de
consola de Weblogic y se ejecutaría en el contexto de seguridad
de dicho sitio, con lo que el código podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
De momento BEA no ha publicado parches que corrijan este problema, por lo que se recomienda filtrar las entradas que llegan a dicha aplicación.
Más información:
BEA WebLogic Administration Console Input Validation Hole in 'JndiFramesetAction' Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/Apr/1013829.html - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
