Cross-Site Scripting - Toba 2.7.2

SIU-Toba Toba - Desarrollo
1

Estamos personalizando el Sistema para gestion de Becas SIU-TEHUELCHE, el mismo una vez terminada la personalizacion se paso al sector seguridad para su analisis.

El mismo nos marco la siguiente vulnerabilidad:

Tipo de Vulnerabilidad: Cross-Site Scripting
URL Vulnerable: http://170.210.96.206/tehuelche7/1.0_trunk/aplicacion.php
Parámetro Vulnerable: solicitud
URL completa: http://170.210.96.206/tehuelche7/1.0_trunk/aplicacion.php?
ah=st59417161358d95.74538483&ai=tehuelche||3000007&solicitud=%3Cscript%3Ealert(%22hola
%20mundo%22)%3C/script%3E
Método: GET

Posibilitando que un atacante pueda inyectar código JavaScript robando, por ejemplo, datos de sesión.

Segun lo leido esto estaba solucionado a partir de la version de Toba 2.5 , tenemos que ajustar algo? como lo solucionamos? Gracias!!!

2

Hola Silvio,

gracias por el aviso, ya estoy charlando con la gente de Tehuelche sobre el caso.

Segun lo leido esto estaba solucionado a partir de la version de Toba 2.5 , tenemos que ajustar algo? como lo solucionamos? Gracias!!!
No, lo que se encontro y solucionó sobre parametros propios de Toba fue a partir de la version 2.7.5 con un enfoque mas integral, la version 2.5 es mucho mas vieja y lamenteblemente aun tiene el mecanismo que suceptible a XSS.

Saludos