Vulnerability Bulletins |
Múltiples vulnerabilidades de cross-site scripting en Mailman |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Principiante |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | GNU Mailman 2.1 |
Description |
|
Se han descubierto varias vulnerabilidades de cross-site scripting en el gestor de listas de Linux Mailman. Concretamente la version 2.1 es vulnerable debido a un filtrado incorrecto de los parametros del la URL. Un atacante remoto podria incluir un valor malicioso en el parámetro 'email' en la petición URL que se debe ejecutar en el navegador de la víctima. El atacante podría aprovechar dicha vulnerabilidad para robar las cookies de autenticación de la víctima. | |
Solution |
|
Actualización de Software GNU Mailman 2.1 GNU Patch xss-2.1.0-patch.txt http://twtelecom.dl.sourceforge.net/sourceforge/mailman/xss-2.1.0-patch.txt |
|
Standar resources |
|
Property | Value |
CVE | CAN-2003-0038 |
BID | |
Other resources |
|
ISS: Mailman email variable cross-site scripting http://www.iss.net/security_center/static/11152.php ISS: GNU Mailman error page cross-site scripting http://www.iss.net/security_center/static/11175.php BUGTRAQ http://marc.theaimsgroup.com/?l=bugtraq&m=104342745916111&w=2 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-01-31 |