Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM
Vulnerabilidad de Seguridad UNAM-CERT-2006-073 Vulnerabilidad de XSS en phpLDAPadmin
phpLDAPadmin contiene una falla que permite ataques de cross site scripting remotos.
Esto podría permitir que se ejecute código arbitrario en el navegador Web del usuario, ocasionando una pérdida de integridad.
- Fecha de Liberación:
25-Abr-2006
- Ultima Revisión:
25-Abr-2006
- Fuente:
osvdb (Open Source Vulnerability Database)
- Riesgo
Crítico
- Problema de Vulnerabilidad
Remoto
- Tipo de Vulnerabilidad
Múltiples vulnerabilidades
Sistemas Afectados
-
Descripción
phpLDAPadmin contiene una falla que permite ataques de cross site scripting remotos.
Esta falla existe debido a que la aplicación no valida los campos “Container DN”, “Machina Name” o “UID Number” así como la variable “dn” en el rendimiento del script template_engine.php. Esto podría permitir que un usuario cree una propia CRL (Lista de revocación de certificados) que contenga código arbitrario el cual pueda ser ejecutado en el navegador Web del usuario dentro de la relación de confianza entre el navegador y el servidor, ocasionando una pérdida de integridad.
-
Impacto
Esto podría permitir que se ejecute código arbitrario en el navegador Web del usuario, ocasionando una pérdida de integridad.
-
Solución
Actualmente, no se conocen actualizaciones ni equipos de trabajo que estén trabajando para reparar el problema.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en
la elaboración ó traducción y revisión de éste Documento a:
- Israel Becerril Sierra (ibecerril at seguridad dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47