Multiple vulnerabilità in RWiki  
05/25/2006
 
Sono state riscontrate due vulnerabilità in RWiki che potrebbero essere sfruttate da un utente remoto per eseguire attacchi cross-site scripting , o per compromettere un sistema vulnerabile.

La prima falla è dovuta al fatto che alcuni parametri non precisati non sono validati correttamente prima di essere salvati. Ciò può essere sfruttato per inserire codice HTML e script arbitrari che verrebbero eseguiti dal browser della vittima nel contesto del sito affetto quando un contenuto Wiki malevolo viene visualizzato.
La vulnerabilità è stata riscontrata nelle versioni dalla 2.1.0pre1 alla 2.1.0.

La seconda falla è dovuta al fatto che alcuni parametri non precisati utilizzati nel form di editing non sono validati correttamente prima di essere salvati. Tale vulnerabilità permette l'inserimento di codice Ruby arbitrario.
La vulnerabilità è stata riscontrata nelle versioni precedenti alla 2.1.0.

Soluzione:
Aggiornare alla versione 2.1.1
http://www2a.biglobe.ne.jp/~seki/ruby/rwiki.html

Riferimenti:
http://www2a.biglobe.ne.jp/~seki/ruby/rwiki.html
http://secunia.com/advisories/20264/
 
 

Home Page