Flag Flag

Scripting vulnerability in WPkontakt

The remote script execution vulnerabilty has been discovered in the WPkontakt instant messenger. Below is the copy of the advisory sent to the security mailing lists

security team
Poznan Supercomputing and Networking Center



Product:	WPKontakt (<= 3.0.1)
Vendor:		Wirtualna Polska (http://kontakt.wp.pl/index.html)
Impact:		Remote script execution in Internet Zone
Severity:	Medium
Authors: 	Blazej Miga < bla man poznan pl >
		Jaroslaw Sajko < sloik man poznan pl >
Advisory:	http://www.man.poznan.pl/security/wpkontakt.html


[ISSUE]

WPkontakt is the another Polish instant messenger. The problem is similiar to
the problems revealed in GG or Tlen.pl - parsing error allowing remote script
execution.


[DETAILS]

Parsing error while parsing en email addresses allows us to inject javascript
code like this:

test@"style="background-image:url(javascript:alert(%22You%20are%20owned!%22>))
".wp.pl

The code will execute in Internet Zone.


[SOLUTION]

Please upgrade to the newest version (3.0.1p1)

	   Coprights Poznan Supercomputing and Networking Center

Najważniejsze wydarzenia:

Testy bezpieczeństwa przeglądarek internetowych
Zespół Bezpieczeństwa PCSS przeprowadził testy porównawcze 5 najpopularniejszych przeglądarek internetowych pod kątem odporności na ataki na szyfrowane połączenia SSL/TLS.
Zapraszamy do zapoznania się z przygotowanym raportem.

Więcej

Szkolenie bezpieczeństwa dla programistów w ramach projektu GN3
Zespół Bezpieczeństwa PCSS odegrał kluczową rolę w przygotowaniu dwudniowego, kompleksowego szkolenia, obejmującego tematykę tworzenia bezpiecznego oprogramowania. Szkolenie zostało zorganizowane w Poznaniu dla uczestników jednego z największych europejskich projektów naukowo - badawczych, GN3. Zapraszamy do zapoznania się z zaprezentowanym materiałem.

Więcej

Tematy powiązane:

Katalog ofertowy
W dziale Usługi opublikowany został nowy katalog opisujący wszystkie usługi, które świadczy Zespół Bezpieczeństwa PCSS.
Katalog

Zakupy przez Internet
Zespół Bezpieczeństwa PCSS postanowił przyjrzeć się bliżej usłudze zakupów elektronicznych. Wynikiem naszych prac jest raport.

Bankowość elektroniczna
Raport dotyczący stanu bezpieczeństwa bankowości elektronicznej w Polsce wzbudził duże zainteresowanie. Tutaj można poczytać sam raport, a tutaj reakcje mediów.