Vulnerabilidad en los videos de Tuenti

En los últimos dias no se para de examinar con lupa a la versión Beta de Tuenti y se les está haciendo trabajar a su equipo de desarrolladores. Y es que ha aparecido en Dimitrix otro fallo de seguridad en Tuenti que permite aprovechar la opción de compartir los videos en Tuenti para insertar código HTML  y conseguir resultados como los del video;

Este agujero de seguridad de tipo XSS permitía utilizar una dirección del tipo http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24  (siendo id el código de un video válido) para añadirle la etiqueta “></script> y seguidamente el código HTML deseado. El siguiente ejemplo daba el resultado del video anterior;

http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24″></script><hr><h1><big><marquee><center>SALUDO A TODOS DESDE TUENTI!, DIMITRIX!</center></h1><hr>

Este fallo ya ha sido corregido, ya que si intentas probar a utilizarlo aparece el  mensaje «Parece que hay algún problema con el vídeo. No puede ser compartido ahora, prueba más tarde. Mientras tanto puedes echarle un vistazo a los vídeos de Tuenti.»;

Fallo-tuenti-video

Tanto en meneame.net como en Dimitrix nos comentan de la existencia de nuevos fallos que os comunicaremos en los próximos días/horas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*Acepta la Política de Privacidad