El falllo se debe a un error de validación en la funcionalidad de anti-spoofing, que no valida correctamente el tráfico HTTP inspeccionado antes de ser enviado al navegador a través de la etiqueta meta-refresh, que se utiliza para enviar al cliente la petición original. Esto puede ser aprovechado por atacantes para ejecutar código script arbitrario si se insta a una víctima a visitar un enlace especialmente manipulado con una secuencia de caracteres específica y un script insertados en la URL original.
Para que el script sea procesado:
* El cliente debe seguir la URL especialmente manipulada.
* Guard debe ejecutar la protección activa básica.
* La petición HTTP debe ser procesada y desviada por el Guard.
Los productos vulnerables son:
* Cisco Guard Appliance (Versión de software 3.X)
* Cisco Guard Blade (Versión de software 4.X)
* Cisco Guard Appliance [Versión de software 5.0(3)]
* Cisco Guard Appliance [Versión de software 5.1(5)]
Cisco ha puesto a disposición de sus clientes software para solucionar el problema. Puede obtenerse a través de los canales de distribución habituales.
Se debe visitar:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ga-crypto?psrtdcat20e2 (para el dispositivo)
http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-agm-crypto?psrtdcat20e2 (para el módulo 7600)
La consultora explica que muchos vendedores redujeron sus objetivos en el segundo trimestre para "evitar…
Este repositorio potencia la inteligencia artificial agéntica y unifica todas las señales de seguridad, tanto…
Desde creadores de experiencia de usuario a especialistas en hiperautomatización, son varios los perfiles que…
Estrés, problemas de presupuesto y a nivel de innovación están impactando a los miembros de…
El 71 % de los españoles en edad laboral considera que no recibe demasiada información…
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…