Cisco ha confirmado una vulnerabilidad en el software
Cisco Unified Computing System (UCS) Central que podría permitir a un atacante
construir ataques de cross-site scripting (XSS).
La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Computing System es una nueva plataforma de data center que unifica cómputo, redes, acceso a almacenamiento y virtualización en un sistema unificado.
El problema, con CVE-2016-1401, reside en una validación
insuficiente de los datos de entrada en la interfaz de administración basada en
web del software Cisco Unified Computing System (UCS) Central. Esto podría
permitir a atacantes remotos sin autenticar construir ataques de cross-site
scripting (XSS) contra los usuarios de la interfaz web de los sistemas afectados.
Como es habitual estos ataques permiten acceder a las cookies (incluyendo las
de autenticación) y a información recientemente enviada, además de poder
realizar acciones en el sitio haciéndose pasar por la víctima.
Se ve afectada la versión Cisco UCS Central Software Release 1.4(1a). Cisco ha publicado actualizaciones para solucionar esta vulnerabilidad.
Más
información:
- Cisco Unified Computing System Central Cross-Site Scripting Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160517-ucs