Sistemas Afectados

1. Descripción

   phpLDAPadmin contiene una falla que permite ataques de cross site scripting remotos. Esta falla existe debido a que la aplicación no valida los campos “Container DN”, “Machina Name” o “UID Number” así como la variable “dn” en el rendimiento del script template_engine.php. Esto podría permitir que un usuario cree una propia CRL (Lista de revocación de certificados) que contenga código arbitrario el cual pueda ser ejecutado en el navegador Web del usuario dentro de la relación de confianza entre el navegador y el servidor, ocasionando una pérdida de integridad.

2. Impacto

   Esto podría permitir que se ejecute código arbitrario en el navegador Web del usuario, ocasionando una pérdida de integridad.

3. Solución

   Actualmente, no se conocen actualizaciones ni equipos de trabajo que estén trabajando para reparar el problema.

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Israel Becerril Sierra (ibecerril at seguridad dot unam dot mx)