Noticias
Vulnerabilidad 0-day en IIS
El día de Navidad Microsoft fue avisada de un problema de seguridad que compete a su plataforma IIS (Internet Information Services). La vulnerabilidad fue detallada por el investigador Soroush Dalili el pasado día 25 de diciembre y la compañía de Redmond ha comentado que está investigándola. Dicho problema de seguridad sólo sucede con ciertas configuraciones de IIS, que son vulnerables al ataque mediante inyección de código.
El día de Navidad Microsoft fue avisada de un problema de seguridad que compete a su plataforma IIS (Internet Information Services). La vulnerabilidad fue detallada por el investigador Soroush Dalili el pasado día 25 de diciembre y la compañía de Redmond ha comentado que está investigándola. Dicho problema de seguridad sólo sucede con ciertas configuraciones de IIS, que son vulnerables al ataque mediante inyección de código.
La fimra de seguridad Secunia comentó que la vulnerabilidad está causada porque el servidor web «ejecuta código ASP incorrectamente incluido en un archivo con múltiples extensiones separado por ‘;’ sólo con una extensión interna ‘.asp’. » Por ejemplo: ‘file.asp;.jpg’.
Este problema puede ser explotado potencialmente para ejecutar código ASP arbitrario vía aplicaiones de terceros que utilizan las extensiones de archivos para restringir qué archivos pueden subirse. IIS puede ejecutar cualquier extensión como Active Server Page y muchas web de subida de archivos protegen el equipo haciendo la comprobación de sólo la extensión de los archivos. Un atacante podría saltarse esta protección y subir un ejecutable peligros en el servidor.
-
EntrevistasHace 5 días«Proporcionamos ciberseguridad de gama alta a nuestros clientes, sin importar su tamaño»
-
NoticiasHace 5 díasDEV presenta el Libro Blanco del Desarrollo Español de Videojuegos 2025
-
NoticiasHace 4 díasVirtual Cable y HPE colaborarán en puesto de trabajo inteligente con UDS Enterprise
-
NoticiasHace 5 díasCloudflare bloqueará los rastreadores web mixtos que presten servicio a las empresas de IA

