La vulnerabilidad permite la ejecución de ataques de Cross-Site Scripting
La variable 'login' en ningún momento es verificada, al ser escrito su valor sin ninguna verificación es posible asignar a esta variable código Java Script que se ejecutará en el cliente web.
Es posible la ejecución de código JavaScript en la página del login, lo que permitiría obtener el usuario y la contraseña.
No se ha publicado ninguna solución a esta vulnerabilidad.
Mediante Ingeniería Social, ejecución de código JavaScript en un cliente web, lo que permitiría obtener información del cliente web que lo ejecuta.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT