Categories: SeguridadVirus

Cross site scripting a través de la etiqueta meta-refresh en Cisco Guard

El falllo se debe a un error de validación en la funcionalidad de anti-spoofing, que no valida correctamente el tráfico HTTP inspeccionado antes de ser enviado al navegador a través de la etiqueta meta-refresh, que se utiliza para enviar al cliente la petición original. Esto puede ser aprovechado por atacantes para ejecutar código script arbitrario si se insta a una víctima a visitar un enlace especialmente manipulado con una secuencia de caracteres específica y un script insertados en la URL original.

Para que el script sea procesado:

* El cliente debe seguir la URL especialmente manipulada.

* Guard debe ejecutar la protección activa básica.

* La petición HTTP debe ser procesada y desviada por el Guard.

Los productos vulnerables son:

* Cisco Guard Appliance (Versión de software 3.X)

* Cisco Guard Blade (Versión de software 4.X)

* Cisco Guard Appliance [Versión de software 5.0(3)]

* Cisco Guard Appliance [Versión de software 5.1(5)]

Cisco ha puesto a disposición de sus clientes software para solucionar el problema. Puede obtenerse a través de los canales de distribución habituales.

Se debe visitar:

http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ga-crypto?psrtdcat20e2 (para el dispositivo)

http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-agm-crypto?psrtdcat20e2 (para el módulo 7600)

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Canalys detectó una caída del mercado ‘smartphone’Canalys detectó una caída del mercado ‘smartphone’

Canalys detectó una caída del mercado ‘smartphone’

La consultora explica que muchos vendedores redujeron sus objetivos en el segundo trimestre para "evitar…

2 días ago
Ya está disponible en modo preview Microsoft Sentinel data lakeYa está disponible en modo preview Microsoft Sentinel data lake

Ya está disponible en modo preview Microsoft Sentinel data lake

Este repositorio potencia la inteligencia artificial agéntica y unifica todas las señales de seguridad, tanto…

2 días ago
5 empleos que nacen con la IA5 empleos que nacen con la IA

5 empleos que nacen con la IA

Desde creadores de experiencia de usuario a especialistas en hiperautomatización, son varios los perfiles que…

2 días ago

Las consecuencias imprevistas de la ley DORA

Estrés, problemas de presupuesto y a nivel de innovación están impactando a los miembros de…

2 días ago

El avance de la IA enfrenta una brecha informativa

El 71 % de los españoles en edad laboral considera que no recibe demasiada información…

2 días ago

Silicon Pulse: Titulares de la semana T3E22

Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…

3 días ago