Existe una vulnerabilidad de Cross Site Scripting en el módulo "Diccionario" de los portales XOOPS 2.x.
Por suerte este modulo no está incluido en el paquete por defecto del XOOPS.
El Cross Site Scripting, como ya es mas que sabido permite, entre otras cosas, el robo de las cookies de otros usuarios del mismo sitio web, incluido el administrador, lo que puede facilitar un ataque de suplantación de identidad, comprometiendo la seguridad de todo el sitio.
Normalmente no publicaría una noticia como esta, porque todos los meses se descubren muchos de fallos de este tipo, pero en esta ocasión es un poco diferente, ya que como he puesto el aviso en bugtraq, por coherencia, os lo pongo también aquí.
Eso si, este XSS posee una singularidad que se ve bastante frecuentemente, y es que, a pesar de permitir el uso de caracteres como el <, >, etc, filtra el uso de las comillas, dobles y simples, lo que parece imposibilitar los ataques de XSS de gravedad.
Pues no, ese tipo de filtro da una sensación de falsa seguridad, puesto que es posible saltarselo, por eso he aprovechado la ocasión para incluiros un pequeño manual sobre como se puede evitar este tipo de filtrado.
Mas información;
http://www.cyruxnet.org/modulo_dic_xoops.htm
Fuente; http://www.cyruxnet.org
