-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 01/02/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Cross-site scripting en Oracle Application Server 10g
-----------------------------------------------------

Se ha encontrado una vulnerabilidad en Oracle Application Server 10g que
podría ser explotada por un atacante remoto para perpetrar ataques de cross-site scripting.

La vulnerabilidad está causada porque las entradas pasadas en el
parámetro 'site2pstoretoken' de login.jsp y en el parámetro
'search_type' no son limpiadas de forma adecuada antes de ser devueltas
al usuario. Esto podría ser explotado por un atacante remoto para
ejecutar código JavaScript o HTML en el contexto de de la sesión del
navegador de un usuario que visita un sitio web afectado.

La vulnerabilidad está confirmada para la versión 10.1.3 de Oracle
Application Server Portal, aunque puede afectar a otras versiones.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3753/comentar

Más información:

Oracle Application Server 10g Cross Site Scripting Vulnerability http://archives.neohapsis.com/archives/bugtraq/2009-01/0281.html


Laboratorio Hispasec
laboratorio@hispasec.com


Tal día como hoy:
-----------------

01/02/2008: Denegación de servicio en Java Runtime Environment 6
http://www.hispasec.com/unaaldia/3387

01/02/2007: Termina el mes de los fallos en Apple
http://www.hispasec.com/unaaldia/3022

01/02/2006: Denegación de servicio local en Sun Solaris 10 (x86)
http://www.hispasec.com/unaaldia/2657

01/02/2005: Publicidad falsa de Terra en relación a su antivirus
http://www.hispasec.com/unaaldia/2292

01/02/2004: Actualización para BEA WebLogic Server y Express en sus versiones 7.0
http://www.hispasec.com/unaaldia/1925

01/02/2003: Proposición de ley para establecer los requerimientos de seguridad
http://www.hispasec.com/unaaldia/1560

01/02/2002: Interesante actualización para Windows 2000
http://www.hispasec.com/unaaldia/1195

01/02/2001: Actualización Apache
http://www.hispasec.com/unaaldia/830

01/02/2000: Resumen de Bugtraq del 24-01-2000 al 30-01-2000
http://www.hispasec.com/unaaldia/462

01/02/1999: Intel y su Pentium III bajo sospecha
http://www.hispasec.com/unaaldia/97


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2009 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)