Posts etiquetados ‘cross-site scripting vulnerability’

Multiples vulnerabilidades encontradas en Adobe ColdFusion y Adobe Schockwave Player.

fuente: securityfocus.org


Apache ActiveMQ is prone to a cross-site scripting vulnerability because it fails to properly sanitize user-supplied input.

An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and to launch other attacks.

ActiveMQ 5.3.0 and 5.3.1 are affected; other versions may also be vulnerable.

REFERENCIA DE LA VULNERABILIDAD

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com

Microsoft SharePoint Server 2007 and SharePoint Services 3.0 are prone to a cross-site scripting vulnerability because it fails to properly sanitize user-supplied input.

An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and to launch other attacks.

REFERENCIA DE LA VULNERABILIDAD

EXPLOIT

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com


fuente: securityfocus.com



Según ha comunicado la Web Hacking Incidents Database (WHID), en 2009 las redes sociales han sufrido las principales amenazas de seguridad y la inyección SQL se posiciona como el ataque más común utilizado por los piratas informáticos en Internet.

Según el análisis de WHID, uno de cada cinco incidentes entre enero y junio de 2009 ha estado relacionado con redes sociales, llegando al 19% de los casos y siendo Facebook y Twitter los principales objetivos de todo tipo de hackers. La forma más común de estos ataques ha sido mediante los gusanos cross-site scripting (XSS) y a través de formas para robar contraseñas de usuarios de Twitter. En este caso en particular, se han visto comprometidas 33 cuentas de Twitter, entre ellas, la del presidente de Estados Unidos, Barack Obama.

La inyección SQL se presenta como número uno en la lista de deficiencias de seguridad al representar la casi la quinta parte de los ataques, llegando incluso al 19% del total de los casos. El ataque de inyección SQL altera el contenido de la base de datos del equipo e inyecta, como su propio nombre indica, un código JavaScript malicioso para que se ejecute en los navegadores de Internet. De ese modo, roba las claves de acceso del usuario que utiliza en otras aplicaciones Web.

Otras deficiencias de seguridad que ha denunciado WHID en su análisis de 2009 son las relacionadas con la conectividad en la Red. El principal riesgo del protocolo HTTP es que puede permitir la entrada de cualquier hacker al tener un protocolo demasiado libre, lo que unido al desarrollo de la Web 2.0, dificulta la seguridad de empresas y particulares. Si a esto le sumamos la proliferación de uso de aplicaciones Web, como las herramientas de Google o Microsoft, el usuario deberá exigir unas medidas de seguridad más restrictivas para garantizar la privacidad de sus datos.

fuente: csospain.es

– > OPINA SOBRE ESTE ARTICULO EN EL FORO-CHAT <—

The Apache ‘mod_proxy_ftp’ module is prone to a cross-site scripting vulnerability because the application fails to properly sanitize user-supplied input.

An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may help the attacker steal cookie-based authentication credentials and launch other attacks.

This issue is reported to affect Apache 2.0.63 and 2.2.9; other versions may also be affected.

fuente: securityfocus

REFERENCIA DE LA VULNERABILIDAD

apache