2 sep. 2014

Cross-site scripting en múltiples productos F5

La firma SEC Consult ha anunciado una vulnerabilidad de cross-site scripting en múltiples productos F5.

F5 Networks es una compañía americana, con sede en en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.

El problema, con CVE-2014-4023, reside en que las entradas pasadas a tmui/dashboard/echo.jsp de la utilidad de configuración ("Configuration Utility") no son debidamente limpiadas antes de ser mostradas. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los productos afectados pertenecen principalmente a la gama de productos BIG-IP, junto con el Enterprise Manager. Concretamente se han confirmado como vulnerables los productos y versiones siguientes:
  • BIG-IP LTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP AAM 11.4.0 a 11.5.1
  • BIG-IP AFM 11.3.0 a 11.5.1
  • BIG-IP Analytics 11.0.0 a 11.5.1
  • BIG-IP APM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP ASM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP Edge Gateway 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  • BIG-IP GTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP Link Controller 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
  • BIG-IP PEM 11.3.0 a 11.5.1
  • BIG-IP PSM 11.0.0 a 11.4.1 y 10.1.0 a 10.2.4
  • BIG-IP WebAccelerator 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  • BIG-IP WOM 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
  • Enterprise Manager 3.0.0 a 3.1.1 y 2.1.0 a 2.3.0
F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!