Se ha encontrado una vulnerabilidad en el interfaz web de los routers
\nZyXEL Wireless P-330W que podr\u00c3\u00ada ser explotada por un atacante remoto
\npara conducir ataques de cross-site scripting (XSS) y cross-site request
\nforgery (XSRF).<\/p>\n
La vulnerabilidad est\u00c3\u00a1 causada porque la interfaz no filtra de forma
\nadecuada el c\u00c3\u00b3digo HTML de entrada, introducido por el usuario, antes de
\nque \u00c3\u00a9ste sea mostrado. Esto podr\u00c3\u00ada ser explotado por un atacante remoto,
\npor medio de una URL especialmente modificada, para ejecutar c\u00c3\u00b3digo
\nJavaScript o HTML arbitrario. El c\u00c3\u00b3digo se originar\u00c3\u00ada desde la interfaz
\nweb del router y ser\u00c3\u00ada ejecutado en el contexto de seguridad del usuario
\nque visita dicha URL.<\/p>\n
El atacante podr\u00c3\u00ada tener as\u00c3\u00ad acceso las cookies de usuario, incluidas
\nlas de autenticaci\u00c3\u00b3n, o a cualquier otra informaci\u00c3\u00b3n que haya sido
\nenviada recientemente al router a trav\u00c3\u00a9s de formularios web. Adem\u00c3\u00a1s
\npodr\u00c3\u00ada realizar acciones en dicha web con los credenciales del usuario,
\npudiendo as\u00c3\u00ad cambiar la configuraci\u00c3\u00b3n del router.<\/p>\n
Recientemente se ha publicado un exploit en el que se muestra como
\ncambiar la contrase\u00c3\u00b1a de administrador del router. La vulnerabilidad
\nest\u00c3\u00a1 confirmada para la versi\u00c3\u00b3n ZyXEL P-330W Wireless Router aunque
\npodr\u00c3\u00ada afectar a otras versiones. Por el momento existe ning\u00c3\u00ban parche
\ndisponible proporcionado por el fabricante.<\/p>\n
Opina sobre esta noticia: M\u00c3\u00a1s informaci\u00c3\u00b3n:<\/p>\n
\nhttp:\/\/www.hispasec.com\/unaaldia\/3350\/comentar<\/a><\/p>\n