Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades de cross-site scripting en Mailman |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | GNU Mailman 2.1 |
Descripción |
|
| Se han descubierto varias vulnerabilidades de cross-site scripting en el gestor de listas de Linux Mailman. Concretamente la version 2.1 es vulnerable debido a un filtrado incorrecto de los parametros del la URL. Un atacante remoto podria incluir un valor malicioso en el parámetro 'email' en la petición URL que se debe ejecutar en el navegador de la víctima. El atacante podría aprovechar dicha vulnerabilidad para robar las cookies de autenticación de la víctima. | |
Solución |
|
|
Actualización de Software GNU Mailman 2.1 GNU Patch xss-2.1.0-patch.txt http://twtelecom.dl.sourceforge.net/sourceforge/mailman/xss-2.1.0-patch.txt |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2003-0038 |
| BID | |
Recursos adicionales |
|
|
ISS: Mailman email variable cross-site scripting http://www.iss.net/security_center/static/11152.php ISS: GNU Mailman error page cross-site scripting http://www.iss.net/security_center/static/11175.php BUGTRAQ http://marc.theaimsgroup.com/?l=bugtraq&m=104342745916111&w=2 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2003-01-31 |