Vulnerabilidad en los videos de Tuenti
En los últimos dias no se para de examinar con lupa a la versión Beta de Tuenti y se les está haciendo trabajar a su equipo de desarrolladores. Y es que ha aparecido en Dimitrix otro fallo de seguridad en Tuenti que permite aprovechar la opción de compartir los videos en Tuenti para insertar código HTML y conseguir resultados como los del video;
Este agujero de seguridad de tipo XSS permitía utilizar una dirección del tipo http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24 (siendo id el código de un video válido) para añadirle la etiqueta “></script> y seguidamente el código HTML deseado. El siguiente ejemplo daba el resultado del video anterior;
http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24″></script><hr><h1><big><marquee><center>SALUDO A TODOS DESDE TUENTI!, DIMITRIX!</center></h1><hr>
Este fallo ya ha sido corregido, ya que si intentas probar a utilizarlo aparece el mensaje «Parece que hay algún problema con el vídeo. No puede ser compartido ahora, prueba más tarde. Mientras tanto puedes echarle un vistazo a los vídeos de Tuenti.»;
Tanto en meneame.net como en Dimitrix nos comentan de la existencia de nuevos fallos que os comunicaremos en los próximos días/horas.
Deja una respuesta