| |
VSantivirus No. 1074 Año 7, Lunes 16 de junio de 2003
XSS y posible Path Disclosure en FreeServers y 50megs
http://www.vsantivirus.com/vul-xss-freeservers.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
XyborG, Webmaster de Rynho Zeros Web (http://www.rzw.com.ar), ha publicado información sobre varias fallas en los servidores FreeServers y 50Megs, ampliamente utilizados por millones de usuarios, tanto para alojamiento gratuito como de bajo costo de sus páginas.
Los errores detectados son del tipo CROSS-SITE-SCRIPTING (XSS), los que permiten introducir en el campo de un formulario o cómo código embebido en una página, cualquier comando o script
(javascript, vbs script) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado.
Esto posibilitaría también el robo de cuentas con lo cual un atacante podría modificar cualquier sitio Web alojado en esos servidores, sin que éste le pertenezca.
Otra posible vulnerabilidad es la que revela el camino de instalación de componentes críticos; o sea el tipo de falla conocido como PATH DISCLOSURE.
Posibles ejemplos de estas fallas:
Vulnerabilidad XSS:
/cgi-bin/login?password='>[Código]
/cgi-bin/[Código]
/cgi-bin/sponsored_search?search_location=
t%7C&q=[Código]&submit.x=9&submit.y=6
/cgi-bin/sponsored_search?search_location=
t%7C&q=[Código]
http://[FreeServersSite]/[Código]
/cgi-bin/login?redirect='>[Código]
Vulnerabilidad PATH DISCLOSURE:
/cgi-bin/show_me?wrap=1&page=[cualquier
palabra]/
XyborG informa que se ha puesto en contacto con los responsables de FreeServers y 50Megs, sin obtener respuesta hasta el momento.
Referencias:
Bugs: XSS & posible Path Disclosure en FreeServers & 50megs
http://www.rzw.com.ar/article439.html
http://www.freeservers.com/
http://www.50megs.com/
Créditos: XyborG, webmaster de http://www.rzw.com.ar/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
