viernes, 30 de septiembre de 2011

Cross site scripting en Sonicwall Viewpoint

Se ha publicado un fallo de seguridad, descubierto por Benjamin Kunz Mejri en mayo, en el producto Viewpoint de la casa Sonicwall.

Sonicwall es una de las principales casas de productos de networking dirigidos principalmente a la seguridad informática. Viewpoint es una herramienta de informes basada en web que permite a los administradores de sistema tener acceso al estado, rendimiento y seguridad de las redes en los que se encuentra instalado.

El problema se encuentra en diferentes scripts al no procesar correctamente los parámetros pasados por los usuarios antes de ser devueltos, de esta forma podría permitir a un atacante remoto la ejecución de código javascript en el contexto del navegador de la víctima. Los cross site scripting encontrados son tanto persistentes como no persistentes.

La vulnerabilidad se ha descubierto en la versión 6.0 SP2 del producto aunque no se descarta que otras versiones se encuentren afectadas. Sonicwall recomienda aplicar el hotfix con referencia DTS 104767.


Borja Luaces
bluaces@hispasec.com


Más información:

Sonicwall Viewpoint v6.x - Multiple Web Vulnerabilities
http://www.vulnerability-lab.com/get_content.php?id=195

No hay comentarios:

Publicar un comentario en la entrada