Se ha reportado una vulnerabilidad en Offiria
descubierta por el High-Tech Bridge Security Research Lab. Esta vulnerabilidad
podría permitir a un atacante remoto ejecutar un ataque Cross Site Scripting.
Offiria es una red social privada especialmente
dedicada para entornos de oficina. Permite que su equipo se mantenga bien
informado, favorece la colaboración entre departamentos y el intercambio de conocimientos
e ideas.
Recursos afectados
- Esta vulnerabilidad se ha reportado en la versión 2.1.0, aunque no se descarta que pudiese afectar a versiones anteriores.
Detalle e Impacto de la
vulnerabilidad
- La vulnerabilidad, con identificador CVE-2014-2689, se debe a un error de falta de validacion de la información proporcionada por el usuario en la URL del script "/installer/index.php/". Un atacante malicioso podría engañar a un usuario autenticado a través de una URL especialmente manipulada, con el objetivo final de ejecutar un ataque Cross-Site Scripting.
- Ejemplo explotación vulnerabilidad que visualiza la palabra "inmuniweb" desde: http://[host]/installer/index.php/%22onmouseover%3d%22alert%28%27immuniweb%27%29;%22%3d%22%3E
Recomendación
- Actualmente no existe ninguna solución oficial, pero como solución temporal se recomienda quitar el script vulnerable o restringir el acceso al mismo a través del archivo.htaccess.
Más
información:
- Cross-Site Scripting (XSS) in Offiria https://www.htbridge.com/advisory/HTB23210
Fuente: Hispasec