int(102)

Vulnerability Bulletins

Vulnerabilidad de Cross-Site Scripting en Null HTTPD

Vulnerability classification
Property Value
Confidence level Oficial
Impact Aumento de privilegios
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer Exotic Software
Affected software NullLogic Null HTTPd 0.5

Description
Existe una vulnerabilidad en el servidor de Webmail de NullLogic debido a un error en su codificación. Esta vulnerabilidad posibilita a un usuario remoto introducir, en la página de error 404, código arbitrario que se ejecutará dentro del entorno de seguridad de Webmail. Esta vulnerabilidad se explota enviando al servidor cadenas con un formato concreto.

Solution


Actualización de software

NullHTTPD
NullHTTPD 0.5.1
http://prdownloads.sourceforge.net/nullhttpd/nullhttpd-0.5.1.tar.gz

Standar resources
Property Value
CVE CAN-2002-1497
BID

Other resources
BUGTRAQ: XSS bug in HTTPD
http://marc.theaimsgroup.com/?l=bugtraq&m=103098632326536&w=2

Confirm vulnerability
http://freshmeat.net/releases/97910/

Version history
Version Comments Date
1.0 Aviso emitido 2003-12-03
Ministerio de Defensa
CNI
CCN
CCN-CERT