Múltiples vulnerabilidades XSS en GFHost (Gmail)Lostmon reporta múltiples vulnerabilidades del tipo CROSS-SITE-SCRIPTING (XSS) en GFHost. Esta clase de fallo permite a un atacante introducir en el campo de un formulario o código embebido en una página, comandos que pueden provocar la ejecución de un código no deseado.
GFHost (GMail hosting), es un script que permite utilizar la cuenta de Gmail, el correo gratuito basado en Web de Google, para crear una página en la cuál se publicarán todos los archivos adjuntos de los mensajes que estén almacenados bajo una misma etiqueta. De esta forma, cualquier persona que visite dicha página podrá descargar estos archivos.
Las categorías que están en la página generada por el programa son las etiquetas (labels) creadas en la cuenta de correo. Por ejemplo, si las etiquetas son "música" y "vídeos", esas serán las categorías que tendrá la página.
GFHost posee una vulnerabilidad que permite tanto hacer spoofing con el sitio a través de un Cross Site Scripting (XSS), como permitir que un usuario malintencionado pueda subir un archivo al hosting y desde él ejecutar, por ejemplo, funciones de php.
También podrían realizarse otros ataques del tipo XSS para engañar a usuarios confiados a efectos de que ingresen datos tales como su nombre de usuario y contraseña.
El problema está relacionado con varios archivos, y se han publicado posibles exploits como ejemplos.
Créditos: Lostmon (
[email protected])
Relacionados:
GFHost
http://gfhost.mybesthost.com/Lostmon's Blog page
http://lostmon.spymac.net/blog/Publicado en:
http://www.vsantivirus.com/vul-gfhost-xss-051104.htm
