(Sony) Posted April 17, 2012 Share Posted April 17, 2012 This is the hidden content, please Sign In or Sign Up Se ha reportado un error en Nimbuzz que lo haría vulnerable a ataques Cross Site Scripting. Nimbuzz es un cliente de mensajería instantánea que soporta los protocolos de Windows Live Messenger, Yahoo! Messenger, ICQ, Google Talk, AIM, así como redes sociales como Facebook e incorpora voIP para realizar llamadas. Se ha descubierto un error de filtrado en Nimbuzz cuando se muestra el historial de conversaciones en el navegador que podría permitir ataques Cross Site Scripting persistentes. Un atacante remoto, con el que se está chateando, podría enviar una cadena de texto especialmente manipulada a través del chat y de esta forma aprovechar la vulnerabilidad para ejecutar código HTML o JavaScript arbitrario en el navegador del usuario. Es sencillo realizar una prueba de concepto de esta vulnerabilidad, simplemente escribiendo en la ventana del chat: This is the hidden content, please Sign In or Sign Up y posteriormente visitando el historial de la conversación en el navegador (con la opción "Ver en navegador" o "View in browser"). El resultado se puede observar en la imagen siguiente. This is the hidden content, please Sign In or Sign Up Se ha comprobado que la versión actual de Nimbuzz, la 2.2.0 se ve afectada por esta vulnerabilidad. Versiones anteriores también podrían ser vulnerables. Por el momento no existe ninguna versión que corrija este fallo, al que tampoco se ha asignado ningún identificador CVE. También se ha encontrado que el propio sitio web de Nimbuzz resulta vulnerable a ataques XSS: This is the hidden content, please Sign In or Sign Up Fuente: This is the hidden content, please Sign In or Sign Up Link to comment Share on other sites More sharing options...
.webp.8407a83ac96563f75e1c428a1f0d4c3e.webp)
.webp.9a04cec050a656fab081ac190f971c3f.webp)
Hack Tools Resurrection
Recommended Posts