1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-302 Cross-Site Scripting y SQL Injection en Naxtor e-directory.

Se reportarón varias vulnerabilidades dentro de Naxtor e-directory que pueden explotarse para realizar ataques de Cross-Site Scripting y SQL Injection y posiblemente comprometer un sistema vulnerabe.

  • Fecha de Liberación: 3-Ago-2005
  • Fuente: basher13
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

Naxtor e-directory == 1.0

  1. Descripción

    basher13 reporto varias vulnerabilidades dentro de Naxtor e-directory que pueden explotarse por personas maliciosas para realizar ataques de Cross-Site Scripting y SQL Injection y posiblemente comprometer un sistema vulnerabe.

    1. La entrada que se pasa al campo de password cuando ingresa un administrador no es verificada apropiadamente antes de utilizarse dentro de una petición SQL. Esto puede explotarse para manipular las peticiones SQL al inyectar código SQL arbitrario.

      Adicionalmente, esto podría explotarse para burlar el proceso de autentificación y accesar a la sección administrativa donde archivos arbitrarios pueden ser cargados.

      Una explotación exitosa podría permitir la ejecución de comandos arbitrarios en un sistema vulnerable.

    2. La entrada que se pasa al parámetro "message" dentro de "message.asp" no es verificada apropiadamente antes de ser regresada al usuario. Esto puede explotarse para ejecutar código script y HTML arbitrarios en la sesión de un usuario dentro del contexto del sitio afectado.

    Las vulnerabilidades fueron reportadas en la versión 1.0. Otras versiones también podrián ser afectadas.

  2. Impacto

    Security Bypass.

    Cross-Site Scripting.

    Manipulación de datos.

    Acceso al sistema.

  3. Solución

    Editar el código fuente para asegurarse que las entradas son verificadas apropiadamente.

  4. Apéndices

    Mayor información.

    http://k.domaindlx.com/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT