sábado, 30 de agosto de 2014

Cross-site scripting en múltiples productos F5

La firma SEC Consult ha anunciado una vulnerabilidad de cross-site scripting en múltiples productos F5.

F5 Networks es una compañía americana, con sede en en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.

El problema, con CVE-2014-4023, reside en que las entradas pasadas a tmui/dashboard/echo.jsp de la utilidad de configuración ("Configuration Utility") no son debidamente limpiadas antes de ser mostradas. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los productos afectados pertenecen principalmente a la gama de productos BIG-IP, junto con el Enterprise Manager. Concretamente se han confirmado como vulnerables los productos y versiones siguientes:
BIG-IP LTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP AAM 11.4.0 a 11.5.1 
BIG-IP AFM 11.3.0 a 11.5.1
BIG-IP Analytics 11.0.0 a 11.5.1
BIG-IP APM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP ASM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Edge Gateway 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP GTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Link Controller 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP PEM 11.3.0 a 11.5.1
BIG-IP PSM 11.0.0 a 11.4.1 y 10.1.0 a 10.2.4
BIG-IP WebAccelerator 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP WOM 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
Enterprise Manager 3.0.0 a 3.1.1 y 2.1.0 a 2.3.0

F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.

Más información:

sol15532: XSS vulnerability in echo.jsp CVE-2014-4023

Reflected Cross-Site Scripting


Antonio Ropero
Twitter: @aropero

1 comentario:

  1. Cùng nhau fado mua sắm từ khắp nơi trên thế giới. Với nhiều năm kinh nghiệm trong lĩnh vực dịch vụ về vận chuyển hàng hóa trong nước và ngoài nước. Fado hứa hẹn sẽ mang lại rất nhiều thuận tiền cho quý khách hàng về các vấn đề mua sắm ở các nước lớn trên thế giới như Mỹ, Anh, Trung Quốc, Nhật.

    ResponderEliminar