sábado, 24 de diciembre de 2011

Múltiples vulnerabilidades en productos Websense

Se han anunciado múltiples vulnerabilidades en productos Websense, que podrían permitir a un atacante construir ataques de cross-site scripting, evitar restricciones de seguridad e incluso ejecutar código arbitrario en los sistemas afectados.

Tres de los problemas están relacionados con la interfaz web de administración de informes. El primero de ellos reside en un error no detallado que podría permitir eludir el mecanismo de autenticación. Otros dos de los problemas residen en el tratamiento de las entradas, que no son debidamente limpiadas y pueden permitir realizar ataques de cross-site scripting, con la consiguiente ejecución de código script arbitrario.

Por ultimo, existe un error del que no se han facilitado detalles que podría dar lugar a la ejecución de código arbitrario.

Los problemas afectan a los siguientes productos: Websense Web Security Gateway, versión 7.6, Websense Web Security versión 7.6 y Websense Web Filter versión 7.6.

Se recomienda aplicar el Hotfix 12 para la version 7.6.2 o el Hotfix 24 para la version 7.6.0, disponibles desde:

Más información:

NGS00138 Patch Notification: Websense Triton 7.6 - Authentication bypass in report management UI

NGS00137 Patch Notification: Websense Triton 7.6 - Reflected XSS in report management UI

NGS00140 Patch Notification: Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM

NGS00141 Patch Notification: Websense Triton 7.6 - Stored XSS in report management UI




Antonio Ropero
Twitter: @aropero




1 comentario:

  1. Felices fiestas Chicos!!! Muchas gracias por todo vuestro trabajo, que disfruteis de estas Fiestas!!!
    Un saludo.

    ResponderEliminar