2.1 CVE-2011-5188

XSS Patch
 

La vulnerabilidad de cross-site scripting (XSS) en el módulo Support Timer 6.x-1.x antes de 6.x-1.4 para Drupal permite a los usuarios autenticados de forma remota con el permiso de "seguimiento del tiempo invertido" para inyectar secuencias de comandos web arbitrarias o HTML mediante vectores no especificados .
https://nvd.nist.gov/vuln/detail/CVE-2011-5188

Categorías

CWE-79 : Neutralización inadecuada de la entrada durante la generación de la página web ('Cross-site Scripting')
El producto no neutraliza o neutraliza incorrectamente la entrada controlable por el usuario antes de que se coloque en la salida que se utiliza como una página web que se sirve a otros usuarios. Abreviatura común de Cross-Site Scripting. Se utiliza como sinónimo de XSS almacenado (Tipo 2). En los primeros años tras el descubrimiento inicial del XSS, "CSS" era un acrónimo de uso común. Sin embargo, esto causaría confusión con "Cascading Style Sheets", por lo que el uso de este acrónimo ha disminuido significativamente. Utilice herramientas automatizadas de análisis estático que se centren en este tipo de debilidades. Muchas técnicas modernas utilizan el análisis de flujo de datos para minimizar el número de falsos positivos. No se trata de una solución perfecta, ya que la precisión y la cobertura del 100% no son factibles, especialmente cuando intervienen múltiples componentes. Utilice la hoja de trucos XSS [REF-714] o herramientas automatizadas de generación de pruebas para ayudar a lanzar una amplia variedad de ataques contra su aplicación web. La hoja de trucos contiene muchas variaciones sutiles de XSS dirigidas específicamente contra defensas XSS débiles. Comprenda todas las áreas potenciales en las que entradas no fiables pueden entrar en su software: parámetros o argumentos, cookies, cualquier cosa leída de la red, variables de entorno, búsquedas DNS inversas, resultados de consultas, cabeceras de peticiones, componentes URL, correo electrónico, archivos, nombres de archivos, bases de datos y cualquier sistema externo que proporcione datos a la aplicación. Recuerde que estas entradas pueden obtenerse indirectamente a través de llamadas a la API. Para cualquier comprobación de seguridad que se realice en el lado del cliente, asegúrese de que estas comprobaciones se duplican en el lado del servidor, con el fin de evitar el CWE-602. Los atacantes pueden eludir las comprobaciones del lado del cliente modificando los valores después de que se hayan realizado las comprobaciones, o cambiando el cliente para eliminar por completo las comprobaciones del lado del cliente. Entonces, estos valores modificados se enviarían al servidor. Si están disponibles, utilice mecanismos estructurados que impongan automáticamente la separación entre datos y código. Estos mecanismos pueden ser capaces de proporcionar las citas pertinentes, la codificación y la validación de forma automática, en lugar de confiar en el desarrollador para proporcionar esta capacidad en cada punto donde se genera la salida. Con Struts, escriba todos los datos de los beans de formulario con el atributo filter del bean establecido a true. Para ayudar a mitigar los ataques XSS contra la cookie de sesión del usuario, configure la cookie de sesión para que sea HttpOnly. En los navegadores que soportan la función HttpOnly (como las versiones más recientes de Internet Explorer y Firefox), este atributo puede evitar que la cookie de sesión del usuario sea accesible a scripts maliciosos del lado del cliente que utilicen document.cookie. No se trata de una solución completa, ya que HttpOnly no es compatible con todos los navegadores. Más importante aún, XMLHTTPRequest y otras potentes tecnologías de los navegadores proporcionan acceso de lectura a las cabeceras HTTP, incluyendo la cabecera Set-Cookie en la que se establece la bandera HttpOnly. Cuando el conjunto de objetos aceptables, como nombres de archivo o URL, sea limitado o conocido, cree una correspondencia entre un conjunto de valores de entrada fijos (como ID numéricos) y los nombres de archivo o URL reales, y rechace todas las demás entradas. Utilice un cortafuegos de aplicaciones que pueda detectar ataques contra este punto débil. Puede ser beneficioso en los casos en los que el código no se puede arreglar (porque está controlado por un tercero), como medida de prevención de emergencia mientras se aplican medidas de aseguramiento de software más exhaustivas, o para proporcionar defensa en profundidad. Cuando utilice PHP, configure la aplicación para que no utilice register_globals. Durante la implementación, desarrolle la aplicación para que no dependa de esta característica, pero tenga cuidado de implementar una emulación de register_globals que esté sujeta a debilidades como CWE-95, CWE-621, y problemas similares. Python Library Manager no neutralizaba suficientemente un término de búsqueda proporcionado por el usuario, permitiendo XSS reflejado. La plataforma de comercio electrónico basada en Python no escapaba del contenido devuelto en las páginas de error, lo que permitía ataques de Cross-Site Scripting reflejados. XSS universal en sistema operativo móvil, explotado in the wild por CISA KEV. Cadena: la validación de entrada incorrecta (CWE-20) en el cortafuegos da lugar a XSS (CWE-79), explotado in the wild según CISA KEV. Admin GUI permite XSS a través de cookie. El programa de estadísticas web permite XSS a través de un encabezado HTTP manipulado. Un producto de análisis de registros web permite el uso de XSS a través de un encabezado HTTP Referer manipulado. Cadena: fallo del mecanismo de protección permite XSS Cadena: denylist incompleta (CWE-184) sólo comprueba la etiqueta "javascript:", permitiendo XSS (CWE-79) utilizando otras etiquetas Cadena: denylist incompleta (CWE-184) sólo elimina las etiquetas SCRIPT, permitiendo XSS (CWE-79) XSS reflejado utilizando el PATH_INFO en una URL XSS reflejado no gestionado correctamente al generar un mensaje de error XSS reflejado enviado a través de un mensaje de correo electrónico. XSS almacenado en un producto de seguridad. XSS almacenado utilizando una página wiki. XSS almacenado en una aplicación de libro de visitas. XSS almacenado en una aplicación de libro de visitas mediante javascript: URI en una etiqueta bbcode img. Cadena: archivo de biblioteca no está protegido contra una solicitud directa (CWE-425), lo que lleva a XSS reflejado (CWE-79).

Referencias


 

CPE

cpe iniciar fin
Configuration 1
   cpe:2.3:a:tag1consulting:support_timer:6.x-1.0:*:*:*:*:*:*:*
   cpe:2.3:a:tag1consulting:support_timer:6.x-1.0:beta1:*:*:*:*:*:*
   cpe:2.3:a:tag1consulting:support_timer:6.x-1.1:*:*:*:*:*:*:*
   cpe:2.3:a:tag1consulting:support_timer:6.x-1.2:*:*:*:*:*:*:*
   cpe:2.3:a:tag1consulting:support_timer:6.x-1.3:*:*:*:*:*:*:*
   cpe:2.3:a:tag1consulting:support_timer:6.x-1.x:dev:*:*:*:*:*:*
  Running on/with
  cpe:2.3:a:drupal:drupal:-:*:*:*:*:*:*:*


REMEDIACIÓN


Patch

Url
http://drupal.org/node/1357278
http://drupal.org/node/1357384


EXPLOTA


Exploit-db.com

id descripción fecha
No hay exploits conocidos

Otros (github, ...)

Url
No hay exploits conocidos


CAPEC


Common Attack Pattern Enumerations and Classifications

id descripción gravedad
209 XSS Using MIME Type Mismatch
Medio
588 DOM-Based XSS
Muy alto
591 XSS reflejado
Muy alto
592 XSS almacenado
Muy alto
63 Cross-Site Scripting (XSS)
Muy alto
85 Huella AJAX
Bajo


MITRE