Boletines de Vulnerabilidades |
Cross-site scripting en Ikonboard |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Exotic Software |
Software afectado | Ikonboard 3.1.1 |
Descripción |
|
Existen múltiples vulnerabilidades de cross-site scripting en Ikonboard 3.1.1, un sistema de tablón de mensajería para Internet. Este software no depura suficientemente el código HTML de las URIs correspondientes a fotos en los perfiles de usuario. Esto podría ser aprovechado por un atacante para inyectar código script malicioso en su perfil de usuario, que sería ejecutado en el contexto de seguridad de la máquina donde se estuviera ejecutando Ikonboard. Además, Ikonboard es vulnerable a ataques de inyección de código HTML a través de los campos de cabecera para proxys (X-Forwarded-For). Como el tamaño en uno de estos campos está limitado a 16 caracteres, sería posible inyectar código HTML o script malicioso a través de múltiples peticiones. Este código se ejecutaría en el cliente web del administrador. |
|
Solución |
|
Actualización de software Visite la web del fabricante para obtener una versión actualizada http://members.ikonboard.com/?bypass=yes |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
BID: 6342 http://online.securityfocus.com/bid/6342 BID: 6343 http://online.securityfocus.com/bid/6343 Bugtraq: more Ikonboard 3.1.1 crossite scriptings http://marc.theaimsgroup.com/?l=bugtraq&m=103945194821488&w=2 ISS X-Force: Ikonboard HTML tags photo URL cross-site scripting http://www.iss.net/security_center/static/10797.php ISS X-Force: Ikonboard X-Forwarded-For: header cross-site scripting http://www.iss.net/security_center/static/10799.php |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-12-12 |