Uma falha de segurança considerada critica, foi identificada no kayako.

Esta falha permite que indivíduos com intenções duvidosas executem código arbitrário através da técnica de Cross Site Scripting.

A falha se originou na integração da biblioteca HTMLTidy v0.5 com as ferramentas kayako.

Ela já foi identificada e corrigida, sendo o arquivo de correção (path) disponibilizado para download neste tópico no fórum da kayako.

HtmlTidy é uma biblioteca que tem por objetivo, remover todo o “lixo” do código HTML e XHTML e também otimizar e corrigir pequenas falhas, como por exemplo um elemento <br> sem a barra / no final. Dentre outras funcionalidades. Para conhecer um pouco mais sobre esta biblioteca, acesse o site do projeto no sourceforge.

O anuncio do path (correção) pode ser lido neste post.

Mais Detalhes

• Divulgação: Alerta no Security Foccus
• Data de divulgação: 24-10-2008
• Tipo de falha: Validação de Input
• Arquivo afetado: “includes/htmlArea/plugins/HtmlTidy/html-tidy-logic.php”
• Produtos Afetados: LiveResponse, Support Suite e E-Support.
• Versões afetadas: 3.30.02 (e possivelmente outras)
• Sobre o path: Informações no site da Kayako
  
• Download path: html-tidy-logic.php security patch

Recomendo a todos atualizar o quanto antes, pois já tive relatos de um cliente que foi afetado por esta vulnerabilidade e seu sistema foi infestado de links para sites de conteúdo duvidoso.

Se quiserem ajuda com relação a este problema, acesse o meu fórum.

Popularity: 53% [?]