Cisco ha anunciado el descubrimiento de un problema en sus dispositivos Wireless LAN Controller (WLC) que potencialmente puede ser explotado para realizar ataques de tipo Cross-Site Scripting (XSS).
El problema se debe a una validación insuficiente de las entradas suministradas por el usuario en el sistema de ayuda HTML. Un atacante remoto no autenticado podría llevar a cabo un ataque de Cross-Site Scripting convenciendo a un usuario de seguir un enlace URL malicioso. De esta forma lograría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.
La vulnerabilidad, con la referencia CVE-2015-0690, ha sido confirmada por Cisco. Afecta a los dispositivos con versiones de software 7.4.x, 7.6.x y 8.0.x.
Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte
.
Más información:
Cisco Wireless LAN Controller HTML Help Cross-Site Scripting
Vulnerability
DOM CSS report on help page
Juan José Ruiz
Deja un comentario