sábado, 29 de agosto de 2015

Dos vulnerabilidades en dispositivos Trend Micro Deep Discovery

Trend Micro ha confirmado dos vulnerabilidades en dispositivos Deep Discovery Inspector que podrían permitir a un atacante provocar la realización de ataques de cross-site scripting y de salto de autenticación.
 
Según Trend Micro la plataforma Deep Discovery Inspector "permite detectar, analizar y responder a los actuales ataques sigilosos y dirigidos en tiempo real".

El primero de los problemas, con CVE-2015-2872, reside en un cross-site scripting en el parámetro contentURL de index.html que podría permitir a un atacante sin autenticar ejecutar código malicioso.

Por otra parte, usuarios autenticados sin permisos de administración podrán acceder a múltiples URLs mediante peticiones directas, lo que podría permitir acceder y modificar determinadas configuraciones del sistema (CVE-2015-2873).

Trend Micro ha publicado actualizaciones para solucionar estos problemas disponibles desde:
http://esupport.trendmicro.com/solution/en-US/1112206.aspx

Más información:

Discovery Inspector (DDI) Authentication Bypass (CVE-2015-2873) and Cross-Site Scripting (XSS) Vulnerability (CVE-2015-2872)
http://esupport.trendmicro.com/solution/en-US/1112206.aspx


Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017