Boletines de Vulnerabilidades

int(124)

Boletines de Vulnerabilidades

Cross-site scripting en Ikonboard
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Obtener acceso
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	Exotic Software
Software afectado	Ikonboard 3.1.1
Descripción
Existen múltiples vulnerabilidades de cross-site scripting en Ikonboard 3.1.1, un sistema de tablón de mensajería para Internet. Este software no depura suficientemente el código HTML de las URIs correspondientes a fotos en los perfiles de usuario. Esto podría ser aprovechado por un atacante para inyectar código script malicioso en su perfil de usuario, que sería ejecutado en el contexto de seguridad de la máquina donde se estuviera ejecutando Ikonboard. Además, Ikonboard es vulnerable a ataques de inyección de código HTML a través de los campos de cabecera para proxys (X-Forwarded-For). Como el tamaño en uno de estos campos está limitado a 16 caracteres, sería posible inyectar código HTML o script malicioso a través de múltiples peticiones. Este código se ejecutaría en el cliente web del administrador.
Solución
Actualización de software Visite la web del fabricante para obtener una versión actualizada http://members.ikonboard.com/?bypass=yes
Identificadores estándar
Propiedad	Valor
CVE
BID
Recursos adicionales
BID: 6342 http://online.securityfocus.com/bid/6342 BID: 6343 http://online.securityfocus.com/bid/6343 Bugtraq: more Ikonboard 3.1.1 crossite scriptings http://marc.theaimsgroup.com/?l=bugtraq&m=103945194821488&w=2 ISS X-Force: Ikonboard HTML tags photo URL cross-site scripting http://www.iss.net/security_center/static/10797.php ISS X-Force: Ikonboard X-Forwarded-For: header cross-site scripting http://www.iss.net/security_center/static/10799.php