Cisco
ha
anunciado el descubrimiento de un problema en sus dispositivos Wireless LAN Controller (WLC) que
potencialmente puede ser explotado para realizar ataques de tipo Cross-Site Scripting (XSS).
El problema se debe a una
validación insuficiente de las entradas suministradas por el usuario en el
sistema de ayuda HTML. Un atacante remoto no autenticado podría llevar a cabo
un ataque de Cross-Site Scripting convenciendo a un usuario de seguir un enlace
URL malicioso. De esta forma lograría ejecutar código arbitrario HTML o script
en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir
que el atacante accediera a información sensible basada en el navegador como
cookies de autenticación y los datos presentados recientemente.
La vulnerabilidad, con la
referencia CVE-2015-0690, ha sido confirmada por Cisco. Afecta a los
dispositivos con versiones de software 7.4.x, 7.6.x y 8.0.x.
Cisco no ofrece actualizaciones
gratuitas para este problema. Para obtener versiones actualizadas se debe
contactar con el canal de soporte
.
Más información:
Cisco Wireless LAN Controller HTML Help
Cross-Site Scripting
Vulnerability
DOM CSS report on help page
Juan José Ruiz
No hay comentarios:
Publicar un comentario