Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Múltiples vulnerabilidades XSS en GFHost (Gmail)
 
VSantivirus No. 1583 Año 8, sábado 6 de noviembre de 2004

Múltiples vulnerabilidades XSS en GFHost (Gmail)
http://www.vsantivirus.com/vul-gfhost-xss-051104.htm

Por Angela Ruiz
angela@videosoft.net.uy


Lostmon reporta múltiples vulnerabilidades del tipo CROSS-SITE-SCRIPTING (XSS) en GFHost. Esta clase de fallo permite a un atacante introducir en el campo de un formulario o código embebido en una página, comandos que pueden provocar la ejecución de un código no deseado.

GFHost (GMail hosting), es un script que permite utilizar la cuenta de Gmail, el correo gratuito basado en Web de Google, para crear una página en la cuál se publicarán todos los archivos adjuntos de los mensajes que estén almacenados bajo una misma etiqueta. De esta forma, cualquier persona que visite dicha página podrá descargar estos archivos.

Las categorías que están en la página generada por el programa son las etiquetas (labels) creadas en la cuenta de correo. Por ejemplo, si las etiquetas son "música" y "vídeos", esas serán las categorías que tendrá la página.

GFHost posee una vulnerabilidad que permite tanto hacer spoofing con el sitio a través de un Cross Site Scripting (XSS), como permitir que un usuario malintencionado pueda subir un archivo al hosting y desde él ejecutar, por ejemplo, funciones de php.

También podrían realizarse otros ataques del tipo XSS para engañar a usuarios confiados a efectos de que ingresen datos tales como su nombre de usuario y contraseña.

El problema está relacionado con varios archivos, y se han publicado posibles exploits como ejemplos.


Créditos: Lostmon (lostmon@gmail.com)

Relacionados:

GFHost
http://gfhost.mybesthost.com/

Lostmon's Blog page
http://lostmon.spymac.net/blog/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS