Luego de que se publicara la forma de acceder a los servidores de desarrollo de la empresa, se dieron a conocer 3 nuevas vulnerabilidades correspondientes a Directory Traversal+Local File Include y Cross-Site Scripting. Las vulnerabilidades fueron reportadas y se está trabajando para resolverlas. Corresponden a dos vulnerabilidades XSS y una LFI, la cual se encuentra […]
Luego de que se publicara la forma de acceder a los servidores de desarrollo de la empresa, se dieron a conocer 3 nuevas vulnerabilidades correspondientes a Directory Traversal+Local File Include y Cross-Site Scripting. Las vulnerabilidades fueron reportadas y se está trabajando para resolverlas.
Corresponden a dos vulnerabilidades XSS y una LFI, la cual se encuentra corregida.
El primer Cross-Site Scripting se encuentra en el archivo registro.cgi, permite la inyección de código javascript/html mediante la variable mbr_nbr.
El segundo, se encuentra en el archivo site_login.cgi mediante la variable error_login. El típico error donde el mensaje de error se define mediante una variable la cual puede ser modificada, inyectando arbitrariamente codigo javascript/html.
Y la tercera y ultima vulnerabilidad reportada, la que corresponde a Local File Include y que mediante Directory Traversal permite la inclusión de archivos de sistema, es posible acceder a archivos como por ejemplo /etc/passwd. La vulnerabilidad se encontraba presente en el archivo site_login.cgi, mediante la variable extra:
https://ssl.lan.com/cgi-bin/site_login.cgi?extra=../../../../../../../../../../../etc/passwd
Esta última vulnerabilidad ya se encuentra corregida.
Las vulnerabilidades se han reportado mediante los ID #2342, #2344 y #2343.
Se ha anunciado, con fecha desde el 10 al 12 de Diciembre, la conferencia internacional de tecnologías de internet y transacciones seguras. El evento tendrá lugar en Londres, donde se presentaran charlas y workshops, además de un tour gratuito por londres post-evento.
Con fecha 18 y 19 de Octubre se realizará en Santiago de Chile la segunda versión de la conferencia de seguridad informatica 8.8. Tendrá lugar en el cine arte normandie, misma ubicación del año pasado y el valor es de US$80, pudiendo obtener descuentos si compras con anticipación.