Bug de seguridad en el envío de invitaciones desde Tuenti Móvil

Publican un pequeño fallo de seguridad en el envío de invitaciones desde la versión de Tuenti Móvil. El fallo de seguridad es del tipo XSS en el email, es decir, que si se introduce un código preparado en la dirección de correo, en vez de enviarse la invitación se ejecutaría la finalidad del código.

alerta-tuenti-email

Por ejemplo, si desde http://m.tuenti.com/?m=friends&func=compose_external_invite se introduce como valor del email a@a.com<script>alert(‘Alerta!’);</script> , se ejecutará el código javascript que muestra una ventana de alerta.

El fallo ya ha sido comunicado a Tuenti y seguramente sea solventado en las próximas horas.

Aunque es necesario el csfr del usuario, alguien podría preparar direcciones malintencionadas con código javascript y mandarlas a sus posibles víctimas. En la web de su descubridor Dimitrix se puede encontrar más información.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*Acepta la Política de Privacidad