El Servicio de Encuestas “askiaweb” Contiene Múltiples Vulnerabilidades
Askiaweb, un popular soporte que permite realizar encuestas online, está en el punto de mira debido a varias vulnerabilidades descubiertas.
Sergio Méndez Galindo
4 de April · 246 palabras.
4 de April · 246 palabras.
Se ha informado de varias brechas en la seguridad de esta aplicación web:
CWE-89: Neutralización incorrecta de “elementos especiales” empleados en un comando de SQL (SQL injection) - CVE-2013-0123. La interfaz de administración de la aplicación Askia encuesta web (http://www.askia.com/askiaweb) es vulnerable a una inyección en SQL (ciego, basado en tiempo) con dos parámetros diferentes:
https://[application]/WebProd/pages/pgHistory.asp [nHistoryId parameter]
https://[application]/WebProd/pages/pgadmin.asp [OrderBy parameter]
CWE-79: Neutralización incorrecta de “Entrada durante generación de web” (′Cross-site Scripting′) - CVE-2013-0124. La interfaz de administración es vulnerable a XSS en las siguientes urls y parámetros:
https://[application]/WebProd/cgi-bin/AskiaExt.dll [Number parameter]
https://[application]/WebProd/cgi-bin/AskiaExt.dll [UpdatePage parameter]
Impacto
Un atacante con acceso a la interfaz de aplicación del servicio de encuestas online -Askiaweb- puede lanzar ataques de Scripting o inyección de sql, lo que podría resultar en robo de información, escalado de privilegios o denegación de servicio.
Solución
Por el momento no se conoce ninguna solución definitiva para el problema..
Restringir el acceso
Como recomendación aplicable para mejorar la seguridad, aconsejamos permitir únicamente las conexiones provenientes de servidores y redes de confianza. Debemos tener en cuenta que restringir el acceso no previene los ataques XSS, CSRF o SQLi si estos proceden de una petición HTTP de un servidor legítimio. Restringir el acceso impedirá al atacante acceder a la aplicación web empleando credenciales robados desde una conexión bloqueada.
Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus