Categories: SeguridadVirus

Cross site scripting a través de la etiqueta meta-refresh en Cisco Guard

El falllo se debe a un error de validación en la funcionalidad de anti-spoofing, que no valida correctamente el tráfico HTTP inspeccionado antes de ser enviado al navegador a través de la etiqueta meta-refresh, que se utiliza para enviar al cliente la petición original. Esto puede ser aprovechado por atacantes para ejecutar código script arbitrario si se insta a una víctima a visitar un enlace especialmente manipulado con una secuencia de caracteres específica y un script insertados en la URL original.

Para que el script sea procesado:

* El cliente debe seguir la URL especialmente manipulada.

* Guard debe ejecutar la protección activa básica.

* La petición HTTP debe ser procesada y desviada por el Guard.

Los productos vulnerables son:

* Cisco Guard Appliance (Versión de software 3.X)

* Cisco Guard Blade (Versión de software 4.X)

* Cisco Guard Appliance [Versión de software 5.0(3)]

* Cisco Guard Appliance [Versión de software 5.1(5)]

Cisco ha puesto a disposición de sus clientes software para solucionar el problema. Puede obtenerse a través de los canales de distribución habituales.

Se debe visitar:

http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ga-crypto?psrtdcat20e2 (para el dispositivo)

http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-agm-crypto?psrtdcat20e2 (para el módulo 7600)

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

2 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

3 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

3 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

3 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

3 días ago