W eTrust SiteMinde wykryto lukę

Eksperci ds. bezpieczeństwa IT wykryli lukę w programie wykorzystywanym do kontroli nad dostępem do sieci eTrust SiteMinde z CA.

Luka umożliwia zdalnemu użytkownikowi przeprowadzenie ataku typu XXS i uzyskanie dostępu do potencjalnie ważnych danych innych użytkowników.

Bug pojawia się przy przetwarzaniu danych wejściowych w parametrach password i buffer w pliku smpwservicescgi.exe.

Zdalny użytkownik może przy pomocy specjalnie spreparowanego URL uruchomić dowolny scenariusz HTML w przeglądarce ofiary w kontekście bezpieczeństwa witryny z luką.

Lukę zawiera program eTrust SiteMinder 5.5. Istnieje do niej eksploit. Na dzień dzisiejszy nie znane są jeszcze sposoby jej usunięcia.

Źródło: Dr WEB