Tres de los problemas están relacionados con la interfaz web de administración de informes. El primero de ellos reside en un error no detallado que podría permitir eludir el mecanismo de autenticación.
Otros dos de los problemas residen en el tratamiento de las entradas, que no son debidamente limpiadas y pueden permitir realizar ataques de cross-site scripting, con la consiguiente ejecución de código script arbitrario.
Por ultimo, existe un error del que no se han facilitado detalles que podría dar lugar a la ejecución de código arbitrario.
Los problemas afectan a los siguientes productos: Websense Web Security Gateway, versión 7.6, Websense Web Security versión 7.6 y Websense Web Filter versión 7.6.
Se recomienda aplicar el Hotfix 12 para la version 7.6.2 o el Hotfix 24 para la version 7.6.0, disponibles desde:
https://www.websense.com/content/mywebsense-hotfixes.aspx
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/multiples-vulnerabilidades-en-productos.html#comments
Más información:
NGS00138 Patch Notification: Websense Triton 7.6 - Authentication bypass in report management UI http://archives.neohapsis.com/archives/bugtraq/2011-12/0091.html
NGS00137 Patch Notification: Websense Triton 7.6 - Reflected XSS in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0093.html
NGS00140 Patch Notification: Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM http://archives.neohapsis.com/archives/bugtraq/2011-12/0094.html
NGS00141 Patch Notification: Websense Triton 7.6 - Stored XSS in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0095.html
Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com
Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
