int(193)

Vulnerability Bulletins


Múltiples vulnerabilidades de cross-site scripting en Mailman

Vulnerability classification

Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Principiante
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information

Property Value
Affected manufacturer GNU/Linux
Affected software GNU Mailman 2.1

Description

Se han descubierto varias vulnerabilidades de cross-site scripting en el gestor de listas de Linux Mailman. Concretamente la version 2.1 es vulnerable debido a un filtrado incorrecto de los parametros del la URL. Un atacante remoto podria incluir un valor malicioso en el parámetro 'email' en la petición URL que se debe ejecutar en el navegador de la víctima. El atacante podría aprovechar dicha vulnerabilidad para robar las cookies de autenticación de la víctima.

Solution



Actualización de Software

GNU Mailman 2.1
GNU Patch xss-2.1.0-patch.txt
http://twtelecom.dl.sourceforge.net/sourceforge/mailman/xss-2.1.0-patch.txt

Standar resources

Property Value
CVE CAN-2003-0038
BID

Other resources

ISS: Mailman email variable cross-site scripting
http://www.iss.net/security_center/static/11152.php

ISS: GNU Mailman error page cross-site scripting
http://www.iss.net/security_center/static/11175.php

BUGTRAQ
http://marc.theaimsgroup.com/?l=bugtraq&m=104342745916111&w=2

Version history

Version Comments Date
1.0 Aviso emitido 2003-01-31
Ministerio de Defensa
CNI
CCN
CCN-CERT