02 junio, 2016

Multiple XSS en Babylon

Hola tod@s

Tras varios avisos y por distintos medios, formularios de contacto, a diferentes correos corporativos de Babylon, como info, soporte, software, etc. En fin, no he recibido ningún tipo de respuesta. Por ello he decidido hacerlo público, a ver si con repercusión mediática, llamamos su atención. Así mismo sres de Babaylon sigo estando a su disposición para ayudarles a solucionar la vulnerabilidad que afectaría a millones de usuarios en todo el mundo. Al igual que hice con otras vulnerabildiades, fue reportar y ayudar a su solución de forma inmediata, yo también soy un usuario de Internet y deseo una red más segura.

Babylon fue fundada en 1997 y tiene sede en Tel Aviv (Israel). Babylon ofrece varios y distintos servicios a usuarios finales y empresas.

El traductor ofrece traducciones en 77 idiomas, también dispone de diccionario. El software se vende en todo el mundo y se utiliza en más de 168 países y tiene una creciente base de usuarios de instalaciones de escritorio más 90 millones. Además dispone de app para Iphone, Android, Windows, Blackberry y Kindle y hasta un servicio pro para empresas.

Por otro lado, dispone de servicios de monetización para proveedores de contenidos y sitios web editores web, bloggers y webmasters.

Esta empresa hasta dispone de servicios búsqueda en la web, sí también es un buscador.

Veamos la prueba de concepto:
  • URL:   
  1. http://espanol.babylon-software.com/bht/index.html?trid=
  2. http://traductor.babylon-software.com/ingles/a-espanol/ 
  3. http://traduccion.babylon-software.com/?trid=
  • Vector:  <img src=1 onerror=alert("n0ipr0cs");>/
  • State: unpathed

Imagen 1: Primer XSS en Babylon

Imagen 2: Segundo XSS en Babylon

Imagen 3: Tercer XSS en Babylon


No seáis malos. 

0 comentarios:

Publicar un comentario