SIU Guarani es la plataforma para registrar la actividad de los estudiantes. Su uso es frecuente en la mayoría de las universidades Argentinas. Acá se presenta una función oculta de esta conocida plataforma administrativa.
La función oculta fue encontrada en la versión instalada en la Universidad de Lanus y consiste en la posibilidad de inyectar código html/javascript en el campo calle del formulario “actualización de datos”.
También es posible agregar una imagen usando el mismo vector de ataque, es decir la etiqueta img, y un acortador de url. Y luego se encodea y se inyecta tal como se hizo en la captura 1.
Esto que podría ser una vulnerabilidad de tipo xss persistente, solo afecta al usuario propietario de la cuenta