Vulnerabilidad Cross-Site Scripting en Oracle HTTP Server

Se ha descubierto que el script ‘isqlplus’ no filtra adecuadamente las

entradas dadas por los usuarios en los parámetros ‘action’, ‘username’ y

‘password’. Un usuario remoto puede enviar una URL especialmente creada

que, una vez cargada por la víctima, permitirá la ejecución de código

script en el navegador de la víctima.

Como resultado, este

código puede acceder a las cookies asociadas con el sitio web (lo que

incluye las de autenticación), o incluso acceder a datos enviados

recientemente por la víctima, o realizar acciones en el web actuando

como dicha víctima.

Por el momento la compañía no ha

publicado parches para corregir este problema, por lo que se recomienda

utilizar, por ejemplo, un proxy o un firewall que filtre las entradas

maliciosas.