Hitachi (*) ha informado de la existencia de diversos problemas de seguridad en Hitachi Business Logic, que pueden ser aprovechados para realizar ataques de tipo Cross-site scripting o de inyección de código SQL.

Las vulnerabilidades -que afectan desde la versión 01-00 a la 02-06 de Hitachi Business Logic para Windows, y desde la versión 01-01 a la 02-00 para AIX-, tienen su origen en que algunos formularios de entrada no validan de forma adecuada los datos introducidos antes de mostrarlos, de nuevo, al usuario. En la práctica, esta situación podrá ser aprovechada para ejecutar código script y HTML arbitrario en el navegador del usuario, en el contexto de seguridad del sitio afectado. Asimismo, puede ser utilizada para inyectar cabeceras HTTP arbitrarias que serán incluidas en la respuesta enviada al usuario.

Un problema similar al anteriormente descrito existe en algunos formularios de entrada, que no validan de forma adecuada los datos introducidos antes de usarlos en consultas SQL. Esta vulnerabilidad podrá emplearse para manipular consultas SQL e inyectar código SQL arbitrario.

Se recomienda, a los usuarios de Windows que puedan verse afectados por las mencionadas vulnerabilidades, que instalen la versión 03-00 de Hitachi Business Logic. Por su parte, los usuarios de la plataforma AIX deberán contactar con el soporte de Hitachi.

(*) La información proporcionada por Hitachi se encuentra publicada en: http://www.hitachi-support.com/security_e/vuls_e/HS05-025_e/01-e.html