Al menos tres sitios de la Universidad de Concepción (UDEC) estában expuestos a un ataque XSS, luego de haber reportado el problema, los encargados se comunicaron rápidamente conmigo para solucionar el fallo.
Las URI vulnerables eran las siguientes:
- https://www.udec.cl
- https://www.ing-mat.udec.cl
De las cuales la primera tenía al menos dos scripts vulnerables
- https://www.udec.cl/exalumnos/registro_google/mensaje.php?mensaje=[XSS]
- https://www.udec.cl/egresados/mensaje.php?mensaje=[XSS]
Y la segunda al menos una
- https://www.ing-mat.udec.cl/biblioteca/buscar_libro_autor.php?autor=[XSS]
Según los encargados
Ya hemos desactivado el sitio https://www.udec.cl/egresados que estaba obsoleto. También notificamos a los desarrolladores de las otras direcciones para que apliquen validaciones en los parámetros de los scripts a la brevedad. En el último caso esperan cambiar pronto la plataforma por una nueva.
Hasta el momento sólo la segúnda (egresados) ha sido fixeada, las continuan vulnerables.
Comentarios