Cross-Site scripting en Oracle Reports Server

SeguridadVirus

Se ha anunciado una vulnerabilidad de validación de entradas en un script de ejemplo de Oracle Reports Server que podrá ser empleado por atacantes remotos para realizar ataques de cross-site scripting.

El problema se encuentra exactamente en el script de ejemplo ‘test.jsp’ que no valida adecuadamente las entradas de los usuarios. Un usuario remoto podrá crear una URL específica, que cuando sea cargada por el usuario atacado provocará que se ejecute código script arbitrario en el navegador de dicho usuario.

El código tendrá como origen el sitio del servidor Oracle Reports y se ejecutará en el contexto de seguridad de este sitio. Como resultado, este código será capaz de acceder a las cookies del usuario (incluidas las cookies de autenticación) asociadas al servidor, datos de accesos recientes o realizar acciones en el sitio actuando como el usuario atacado.