sábado, 30 de agosto de 2014

Cross-site scripting en múltiples productos F5

La firma SEC Consult ha anunciado una vulnerabilidad de cross-site scripting en múltiples productos F5.

F5 Networks es una compañía americana, con sede en en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.

El problema, con CVE-2014-4023, reside en que las entradas pasadas a tmui/dashboard/echo.jsp de la utilidad de configuración ("Configuration Utility") no son debidamente limpiadas antes de ser mostradas. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los productos afectados pertenecen principalmente a la gama de productos BIG-IP, junto con el Enterprise Manager. Concretamente se han confirmado como vulnerables los productos y versiones siguientes:
BIG-IP LTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP AAM 11.4.0 a 11.5.1 
BIG-IP AFM 11.3.0 a 11.5.1
BIG-IP Analytics 11.0.0 a 11.5.1
BIG-IP APM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP ASM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Edge Gateway 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP GTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Link Controller 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP PEM 11.3.0 a 11.5.1
BIG-IP PSM 11.0.0 a 11.4.1 y 10.1.0 a 10.2.4
BIG-IP WebAccelerator 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP WOM 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
Enterprise Manager 3.0.0 a 3.1.1 y 2.1.0 a 2.3.0

F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.

Más información:

sol15532: XSS vulnerability in echo.jsp CVE-2014-4023

Reflected Cross-Site Scripting


Antonio Ropero
Twitter: @aropero