Cross site scripting en Nimbuzz

Iniciado por wolfbcn, 16 Abril 2012, 14:05 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

wolfbcn

16 Abril 2012, 14:05 PM
Se ha reportado un error en Nimbuzz que lo haría vulnerable a ataques Cross Site Scripting.

Nimbuzz es un cliente de mensajería instantánea que soporta los protocolos de Windows Live Messenger, Yahoo! Messenger, ICQ, Google Talk, AIM, así como redes sociales como Facebook e incorpora voIP para realizar llamadas.

Se ha descubierto un error de filtrado en Nimbuzz cuando se muestra el historial de conversaciones en el navegador que podría permitir ataques Cross Site Scripting persistentes.

Un atacante remoto, con el que se está chateando, podría enviar una cadena de texto especialmente manipulada a través del chat y de esta forma aprovechar la vulnerabilidad para ejecutar código HTML o javascript arbitrario en el navegador del usuario.

Es sencillo realizar una prueba de concepto de esta vulnerabilidad, simplemente escribiendo en la ventana del chat:





y posteriormente visitando el historial de la conversación en el navegador (con la opción "Ver en navegador" o "View in browser"). El resultado se puede observar en la imagen siguiente.



Se ha comprobado que la versión actual de Nimbuzz, la 2.2.0 se ve afectada por esta vulnerabilidad. Versiones anteriores también podrían ser vulnerables.

Por el momento no existe ninguna versión que corrija este fallo, al que tampoco se ha asignado ningún identificador CVE.

También se ha encontrado que el propio sitio web de Nimbuzz resulta vulnerable a ataques XSS:



Más información:

Nimbuzz 2.2.0 Cross Site Scripting http://st2tea.blogspot.com.es/2012/04/nimbuzz-220-cross-site-scripting.html

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-en-nimbuzz
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario