martes, 7 de abril de 2015

Cross-Site Scripting en Cisco Wireless LAN Controller

Cisco ha anunciado el descubrimiento de un problema en sus dispositivos Wireless LAN Controller (WLC) que potencialmente puede ser explotado para realizar ataques de tipo Cross-Site Scripting (XSS).

El problema se debe a una validación insuficiente de las entradas suministradas por el usuario en el sistema de ayuda HTML. Un atacante remoto no autenticado podría llevar a cabo un ataque de Cross-Site Scripting convenciendo a un usuario de seguir un enlace URL malicioso. De esta forma lograría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.

La vulnerabilidad, con la referencia CVE-2015-0690, ha sido confirmada por Cisco. Afecta a los dispositivos con versiones de software 7.4.x, 7.6.x y 8.0.x.

Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte
.
Más información:

Cisco Wireless LAN Controller HTML Help Cross-Site Scripting
Vulnerability

DOM CSS report on help page



Juan José Ruiz

No hay comentarios:

Publicar un comentario en la entrada