Detectan un fallo de seguridade na web de La Voz de Galicia
luns, 23 de outubro do 2006
Dende Chuza! dan conta dun pequeno fallo de seguridade na web de La Voz de Galicia no sistema que permite a visualización de vÃdeos procedentes do servizo de YouTube. AsÃ, cando a web de La Voz abre unha fiestra cun vÃdeo, pasa como parámetros para a súa
visualización un tÃtulo e o código de identificación do vÃdeo en YouTube, o que permite unha serie de maldades que van dende a inxección de javascript ata a simple modificación dun tÃtulo dun vÃdeo con fins humorÃsticos.
O ficheiro que terÃa as vulnerabilidades comentadas está radicado en http://www.lavozdegalicia.es/videos/videos.jsp e acepta coma parámetros t (o tÃtulo a presentar) e u (o identificador do video) de xeito que se poden crear ligazóns coma http://www.lavozdegalicia.es/ videos/ videos.jsp?t=BLOGS%20GALEGOS%20NA%20TVG&u=sR6SdBnK5DI pese a que non se publicara nunca o vÃdeo indicado na web de La Voz.