cyphersec A blog about Web Application Security and .NET development best practices

Advisory: Aruba WebMail

Aruba WebMail XSS.
Data : 25/07/2007
Alessio Marziali
www.cyphersec.com

Vulnerabilità rilevate : Cross Site Scripting
Componente Vulnerabile : webmail.cgi
Effetti : Al fine di recuperare il maggior numero di credenziali, un utente malintenzionato può modificare il contenuto della pagina ed avviare una sessione di phishing.

Impatto : Stando a quanto affermato nella pagina "chi siamo" Aruba S.p.A gestisce 3.500.000 caselle e-mail, la quale di fatto aumenta il livello di criticità ad "elevato".

[Proof of Concept 1] Javascript Alert, Cambio Titolo, Modifica Contenuto.

Risoluzione alla vulnerabilità: Per i tradizionali scopi di utilizzo, la valorizzazione del parametro "msg" non deve accettare i valori passati via querystring.

Consiglio agli utenti : Disabilitare Javascript tramite plugins come quello sviluppato da Giorgio Maone "[NoScript]"

Update : Attraverso il forum community.aruba.it, nel 15/12/2006 la stessa vulnerabilità fu segnalata ad Aruba S.p.A; Ad oggi nessun intervento è stato effettuato per risolvere questa grave falla.

Riferimenti : Security for GWT Applications

About Alessio Marziali

Alessio Marziali (MCTS) is a Security Consultant with 9 years of experience developing secure applications with Microsoft .NET in a variety of sectors in UK and Italy. Published technical author with two ASP.NET books currently available for purchase and OWASP Code Crawler Project Leader.