Cisco ha publicado un
boletín de seguridad que resuelve una vulnerabilidad de cross-site request forgery (CSRF) en su
producto WebEx Social.
Cisco WebEx Social es una
plataforma que combina las redes sociales, la creación de contenidos y las
comunicaciones en tiempo real. WebEx Social permite compartir información entre
profesionales tanto dentro de la misma organización como en diferentes áreas
geográficas.
Cisco ha corregido una fallo que
afecta a múltiples páginas web de su producto WebEx Social que podrían permitir
llevar a cabo ataques de falsificación de petición contra el usuario de
la interfaz web.
Dichos ataques consisten en
la manipulación de una petición HTTP que ejecuta algún tipo de acción en un
sitio web (por ejemplo, dar de baja al usuario). Como el sitio web autentico no
comprueba el origen de la petición la da por válida y ejecuta la acción. Esta
petición puede ser alojada dentro de una página maliciosa en un sitio controlado
por un atacante, por ejemplo como un formulario web. Si el usuario interactúa con el
formulario y envía la petición, esta será enviada con la sesión del usuario al
sitio objetivo. Si el usuario está autenticado en ese momento la acción será
ejecutada.
El error es debido a una falta de
comprobación de las solicitudes HTTP. Un intruso remoto no autenticado podría
aprovechar esta vulnerabilidad para enviar peticiones arbitrarias a través del
navegador web de un usuario del sistema, convenciéndole de seguir un enlace o
visitar un sitio web controlado por el atacante.
A la vulnerabilidad le ha sido
asignado el CVE-2013-3392. Afecta a Cisco WebEx Social 3.4(1) y versiones
anteriores. En la versión 3.5(0) ha sido corregido el error.
Más información:
Cisco WebEx Social Cross-Site Request Forgery
Vulnerability (CSCuh10405, CSCuh10355):
Juan José Ruiz
No hay comentarios:
Publicar un comentario