Aggiornato il: 20-02-2020 22:59
A pochi giorni dall’annuncio di un’ennesima falla critica su Adobe Flash, è stato rivelato un nuovo problema di sicurezza web relativo alla libreria SWFUpload: nella versione 2.5.0 esiste un problema che permette un attacco remoto via XSS (iniezione remota di codice arbitrario) nonchè una potenziale scalata di privilegi sul sistema. La proof of concept è stata descritta su seclists, comporta un rischio di media entità per l’utente che sfrutta questa libreria e può essere patchata mediante intervento diretto sul codice, in modo da regolarizzare il parse della variabile buttonTextStyle.
Leggi anche: Perchè filtrare i form di input nei siti?
La vulnerabilità è stata classificata come un caso di Cross Frame Scripting (XFS): attualmente su sourceforge non è presente la patch, per cui è necessario – per arginare il problema – usare questa libreria con la massima cautela: o intervenendo come descritto, oppure sostituendola con una equivalente lato server. Si suggerisce inoltre di aggiornare Flash all’ultima versione esistente per evitare problemi sul proprio browser lato client.