Cross-Site Scripting en RSA Authentication Agent for Web para IIS 5.2

SeguridadVirus

Se ha descubierto una vulnerabilidad en RSA Authentication Agent for Web para IIS 5.2 que puede ser explotada por usuarios maliciosos para realizar ataques de tipo cross site scripting.

El problema se debe a que las entradas recibidas en el parámetro postdata en /WebID/IISWebAgentIF.dll no es filtrada adecuadamente antes de ser devuelta a los usuarios, por lo que se puede ejecutar código HTML y script arbitrario en la sesión de un usuario en el contexto de seguridad del sitio vulnerable.

Si bien la vulnerabilidad ha sido confirmada en la versión 5.2 de este software, no se descarta que versiones anteriores se vean también afectadas. Se recomienda la actualización a la versión 5.3 que se puede bajar desde el sitio de la RSA, en la dirección:

http://www.rsasecurity.com/node.asp?id=2807&node_id=

Plataformas afectadas:

Microsoft: Microsoft IIS 5.0

Microsoft: Microsoft IIS 6.0

Microsoft: Windows 2000 SP4

Microsoft: Windows Server 2003

Microsoft: Windows Server 2003 Enterprise Edition

Microsoft: Windows Server 2003 Standard Edition

RSA Security: RSA Authentication Agent for Web 5.2

Leer la biografía del autor  Ocultar la biografía del autor