SWFupload 2.5.0 fallato, come risolvere

70eb2c7e736423efa70171db 640 snake

A pochi giorni dall’annuncio di un’ennesima falla critica su Adobe Flash, è stato rivelato un nuovo problema di sicurezza web relativo alla libreria SWFUpload: nella versione 2.5.0 esiste un problema che permette un attacco remoto via XSS (iniezione remota di codice arbitrario) nonchè una potenziale scalata di privilegi sul sistema. La proof of concept è stata descritta su seclists, comporta un rischio di media entità  per l’utente che sfrutta questa libreria e può essere patchata mediante intervento diretto sul codice, in modo da regolarizzare il parse della variabile buttonTextStyle.

 

Leggi anche: Perchè filtrare i form di input nei siti?

La vulnerabilità  è stata classificata come un caso di Cross Frame Scripting (XFS): attualmente su sourceforge non è presente la patch, per cui è necessario – per arginare il problema – usare questa libreria con la massima cautela: o intervenendo come descritto, oppure sostituendola con una equivalente lato server. Si suggerisce inoltre di aggiornare Flash all’ultima versione esistente per evitare problemi sul proprio browser lato client.



Questo blog pubblica contenuti ed offre servizi free da 10 anni. Per informazioni contattaci
SWFupload 2.5.0 fallato, come risolvere
Torna su