Anunciadas diversas vulnerabilidades en productos Websense, que podrían permitir a un atacante construir ataques de cross-site scripting, evitar restricciones de seguridad e incluso ejecutar código arbitrario en los sistemas afectados.
Detalles de vulnerabilidades
Tres de los problemas están relacionados con la interfaz web de administración de informes:
- El primero de ellos reside en un error no detallado que podría permitir eludir el mecanismo de autenticación.
- Otros dos de los problemas residen en el tratamiento de las entradas, que no son debidamente limpiadas y pueden permitir realizar ataques de cross-site scripting, con la consiguiente ejecución de código script arbitrario.
Por último, existe un error del que no se han facilitado detalles que podría dar lugar a la ejecución de código arbitrario.
Versiones afectadas
Los problemas afectan a los siguientes productos: Websense Web Security Gateway, versión 7.6, Websense Web Security versión 7.6 y Websense Web Filter versión 7.6.
Solución
Es recomendable aplicar el Hotfix 12 para la version 7.6.2 o el Hotfix 24 para la version 7.6.0, disponibles desde:
https://www.websense.com/content/mywebsense-hotfixes.aspx
Fuente: websense