Eli
105meneos

Vulnerabilidad en Menéame

www.denibol.com/blog/2007/07/20/vulnerabilidad-en-meneame/ 
por Croc el 20-07-2007 18:51 UTC

Revisando el código de Meneame (en su última versión del CVS) he encontrado un fallo importante de seguridad que permite suplantar la identidad de cualquier usuario registrado en el portal de forma arbitraria, simplemente mediante una inyección maliciosa de cookies.

 11 comentarios en: tecnología, software libre karma: 327
etiquetas: vulnerabilidad, php, seguridad, meneame
negativos: 13  usuarios: 74  anónimos: 31  compartir:  twitter  facebook  friendfeed
  1. #1   Esto es un escandalo !!
    votos: 0, karma: 12
    por Tonelee (#) el 20-07-2007 19:05 UTC
  2. #2   hay un wiki y un botón desde cualquier página de menéame que pone "reportar errores", ya son ganas de publicidad...
    votos: 13, karma: 72
    por Carme (#) el 20-07-2007 19:09 UTC
  3. #3   #2 Bueno, cuando alguien descubre una vulnerablidad en IE suelen haber muchos sitios en donde se demuestra y se explota la vulnerabilidad y nadie dice nada.
    votos: 6, karma: -17
    por LgEaObNrAiReDlO (#) el 20-07-2007 19:38 UTC
  4. #4   #3, IE es privativo y malvado.
    votos: 5, karma: 44
    por DZPM (#) el 20-07-2007 20:00 UTC
  5. #5   #4 según los ojos que lo miren, para microsoft seguro que no. Y meneame para fresqui?? xD
    votos: 2, karma: 6
    por guillecs (#) el 21-07-2007 00:56 UTC
  6. #6   Está resuelto, como explica el post.
    votos: 4, karma: 39
    por benjami (#) el 21-07-2007 17:33 UTC
  7. #7   #0 menuda jeta
    votos: 5, karma: 3
    por angostura (#) el 21-07-2007 23:29 UTC
  8. #8   #3 No: Microsoft no tiene un sistema público de informe de errores como la mayoría de programas de código libre (creo que aceptan emails con informes pero no los publican luego).

    y ahora que escribo esto, es probable que tu comentario haya sido irónico pero estoy molido ahora mismo para detectar estas cosas con fiabilidad.
    votos: 1, karma: 16
    por maeghith (#) el 21-07-2007 23:50 UTC
  9. #9   A ver... si dice que se informó del error a los desarrolladores y que se corrigió, ¿por qué no puede hablar de ello?

    Menéame igual no tiene un MSA (menéame security advisory :-D), pero si lo tuviera se hubiera informado y esta persona tendría crédito. A mi me parece correcto su post y no entiendo algunos votos negativos :)
    votos: 2, karma: 22
    por jjm (#) el 22-07-2007 09:46 UTC
  10. #10   » ver comentario
    por --27025-- (#) el 22-07-2007 10:44 UTC
  11. #11   #2 Esta es la prueba de que no leéis las noticias antes de votar negativo... :-)

    Os he pillau xD xD XD
    votos: 0, karma: 6
    por Aitortxu (#) el 22-07-2007 15:10 UTC
comentarios cerrados

menéame