CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/12/2011

Múltiples vulnerabilidades en productos Websense

Se han anunciado múltiples vulnerabilidades en productos Websense, que podrían permitir a un atacante construir ataques de cross-site scripting, evitar restricciones de seguridad e incluso ejecutar código arbitrario en los sistemas afectados.

Riesgo: Medio

Tres de los problemas están relacionados con la interfaz web de administración de informes.
  • El primero de ellos reside en un error no detallado que podría permitir eludir el mecanismo de autenticación.
  • Otros dos de los problemas residen en el tratamiento de las entradas, que no son debidamente limpiadas y pueden permitir realizar ataques de cross-site scripting, con la consiguiente ejecución de código script arbitrario.
  • Por ultimo, existe un error del que no se han facilitado detalles que podría dar lugar a la ejecución de código arbitrario.

Sistemas Afectados:

Websense Web Security Gateway, versión 7.6
Websense Web Security versión 7.6
Websense Web Filter versión 7.6.

Referencias:

None

Solución:

Se recomienda aplicar el Hotfix 12 para la version 7.6.2 o el Hotfix 24 para la version 7.6.0, disponibles desde:
https://www.websense.com/content/mywebsense-hotfixes.aspx

Notas:

NGS00138 Patch Notification: Websense Triton 7.6 - Authentication bypass in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0091.html
NGS00137 Patch Notification: Websense Triton 7.6 - Reflected XSS in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0093.html
NGS00140 Patch Notification: Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM
http://archives.neohapsis.com/archives/bugtraq/2011-12/0094.html
NGS00141 Patch Notification: Websense Triton 7.6 - Stored XSS in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0095.html

Fuente: Hispasec una-al-día

CSIRT-CV