Error de inyección de HTML en Counter-Strike 2 expone las direcciones IP

Iniciado por AXCESS, Diciembre 11, 2023, 07:33:04 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 11, 2023, 07:33:04 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Según se informa, Valve ha solucionado una falla de inyección de HTML en Counter-Strike 2 de la que se abusó mucho para inyectar imágenes en juegos y obtener las direcciones IP de otros jugadores.

Si bien inicialmente se pensó que era una falla más grave de Cross Site Scripting (XSS), que permite que el código JavaScript se ejecute en un cliente, se determinó que el error era solo una falla de inyección de HTML, que permitía la inyección de imágenes.

Counter-Strike 2 utiliza la interfaz de usuario Panorama de Valve, una interfaz de usuario que incorpora en gran medida CSS, HTML y JavaScript para el diseño.

Como parte del diseño, los desarrolladores pueden configurar campos de entrada para aceptar HTML en lugar de convertirlo en una cadena normal. Si el campo habilitaba HTML, cualquier texto ingresado se representaría en la salida como HTML.

Hoy, los usuarios de Counter-Strike comenzaron a informar que los usuarios estaban abusando de una falla de inyección de HTML para inyectar imágenes en el panel de votación.

Si bien se abusó de la falla principalmente para diversión inofensiva, otros la usaron para obtener las direcciones IP de otros jugadores en el partido.

Esto se hizo usando la etiqueta <img> para abrir un script de registro de IP remoto que causaba que se registrara la dirección IP de cada jugador que vio el voto.

Estas direcciones IP podrían usarse de manera maliciosa, como lanzar ataques DDoS para obligar a los jugadores a desconectarse del partido.

Esta tarde, Valve lanzó una pequeña actualización de 7 MB que, según se informa, corrige la vulnerabilidad y hace que cualquier HTML ingresado se desinfecte a una cadena normal.

Por ejemplo, una vez instalado el parche, en lugar de que la interfaz de usuario represente el HTML inyectado, simplemente se mostrará como una cadena, como se muestra a continuación.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En 2019, se encontró un error similar, pero más grave, en la interfaz de usuario panorámica de Counter-Strike: Global Offensive que permitía inyectar HTML a través de la función kick.

Sin embargo, en ese caso particular, también podría usarse para iniciar JavaScript, lo que la convierte en una vulnerabilidad XSS mucho más crítica que podría usarse para ejecutar comandos de forma remota.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario