Según esta alerta, un usuario malicioso podría modificar
totalmente un website y acceder a los datos privados sin precisar el password o
la identificación necesaria.
Técnicamente, el problema resulta de un error presente al nivel de la filtración
de los caracteres backslash "\" contenidos en una URL. El directorio seguro
www.site.com/private-directory/ se vuelve accesible sin ninguna autentificación,
vía la url www.site.com%5Cprivate-directory/
El sitio también informa que Microsoft esta al corriente de esta vulnerabilidad,
aunque insiste en que solamente podrá modificar la apariencia sin poder acceder
a más datos del servidor. |