lunes, 2 de junio de 2014

Vulnerabilidad descubierta en Webmin y Usermin

Se ha reportado una vulnerabilidad en Webmin y Usermin que podría permitir a un atacante remoto realizar ataques de tipo cross-site scripting.

Webmin es una herramienta de configuración de sistemas accesible vía web para sistemas Unix. Se pueden configurar aspectos internos de muchos sistemas operativos, como usuarios, Apache, DNS, archivos compartidos y mucho más. Especialmente dedicado para administradores del sistema.

Usermin es una versión simplificada de Webmin con características y funcionalidades destinadas específicamente para usuarios del sistema.

La vulnerabilidad, con identificador CVE-2014-3924, se debe a un error en ventanas emergentes al no filtrar correctamente el código html proporcionado por el usuario. Esto podría ser usado por un atacante remoto para realizar un ataque cross-site scripting a través de una url especialmente diseñada.

Afectan a las versiones anteriores a 1.690 de Webmin y versiones anteriores a 1.600 de Usermin. Se recomienda actualizar a las versiones 1.690 y 1.600 de Webmin y Usermin respectivamente.

Más información:

Change Log
http://www.webmin.com/changes.html

Usermin Change Log
http://www.webmin.com/uchanges.html


Juan Sánchez
jasanchez@hispasec.com
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017