Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Vulnerabilidades en Cisco ASA

Vulnerabilidades en Cisco ASA

Por Deja un comentario

Cisco ha confirmado la existencia de dos vulnerabilidades en los dispositivos Cisco ASA (Adaptive Security Appliance).

El primero de los problemas reside en un fallo de validación de entrada a la hora de procesar componentes URL codificados con Rot13 en la funcionalidad SSL VPN. Un atacante remoto no autenticado podría aprovechar esto para ejecutar código script o HTML arbitrario (Cross Site Scripting) mediante URLs especialmente manipuladas.

Un segundo problema se debe a un fallo de validación de entrada en el componente WebVPN que podrían permitir a un atacante remoto no autenticado eludir ciertos mecanismos de protección relativos a la reescritura HTML y URL. Esto podría ser aprovechado para, manipulando el primer carácter hexadecimal de una URI de Cisco, ejecutar código script o HTML (Cross Site Scripting).

Estos problemas se han corregido en las versiones 8.0.4.34 y 8.1.2.25 del software de Cisco ASA que puede descargarse desde:
http://www.cisco.com/public/sw-center
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT

Laboratorio Hispasec
laboratorio@hispasec.com

Más información:

Cisco ASA Bugs Permit Cross-Site Scripting and HTML Injection Attacks
http://www.securitytracker.com/alerts/2009/Jun/1022457.html

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.