28 de mayo de 2016

VULNERABILIDAD. De CSS en Cisco Unified Computing System Central

Cisco ha confirmado una vulnerabilidad en el software Cisco Unified Computing System (UCS) Central que podría permitir a un atacante construir ataques de cross-site scripting (XSS).
La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Computing System es una nueva plataforma de data center que unifica cómputo, redes, acceso a almacenamiento y virtualización en un sistema unificado.
El problema, con CVE-2016-1401, reside en una validación insuficiente de los datos de entrada en la interfaz de administración basada en web del software Cisco Unified Computing System (UCS) Central. Esto podría permitir a atacantes remotos sin autenticar construir ataques de cross-site scripting (XSS) contra los usuarios de la interfaz web de los sistemas afectados. Como es habitual estos ataques permiten acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Se ve afectada la versión Cisco UCS Central Software Release 1.4(1a). Cisco ha publicado actualizaciones para solucionar esta vulnerabilidad.
Más información:
Fuente: Hispasec