viernes, 28 de marzo de 2014

Vulnerabilidad Cross-Frame Scripting en RSA Authentication Manager

Se ha anunciado una vulnerabilidad en RSA Authentication Manager (versión 7.1 en todas las plataformas, incluyendo Appliance 3.0) que podría permitir a un atacante la construcción de ataques de cross-frame scripting.

RSA Authentication Manager es un software de control de acceso para proteger los recursos y datos confidenciales en la empresa y en la nube, sin importar el dispositivo utilizado (desde dispositivos internos de la red empresarial o mediante móviles).

El problema (con CVE-2014-0623) reside en que la Consola Self-Service no filtra adecuadamente el código HTML introducido por el usuario antes de mostrar la entrada. Un usuario remoto puede construir ataques cross-frame scripting para obtener información de los usuarios atacados.

Los ataques de Cross-Frame Scripting (XFS) no dejan de ser un método para explotar los ya conocidos Cross-Site Scripting (XSS). En un atacante XFS, el atacante aprovecha un fallo específico en un navegador para acceder a datos privados de un tercer sitio web. El atacante induce al usuario a acceder a una página web controlada por él; la página del atacante carga una página de un tercero en un frame HTML; y entonces mediante la ejecución de JavaScript en la página del atacante puede robar datos de la página del tercero.

RSA ha publicado la actualización 7.1 SP4 P32 disponible desde:
https://knowledge.rsasecurity.com

Más información:

ESA-2014-015: RSA® Authentication Manager Cross Frame Scripting Vulnerability
http://seclists.org/bugtraq/2014/Mar/att-145/ESA-2014-015.txt





Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017