Cross-site scripting, inyección de comandos e inyección SQL, vulnerabilidades que afectan la consola de administración de Symantec Web Gateway (SWG).

Symantec Web Gateway es un servicio que actúa como puerta de enlace capturando todo el tráfico HTTP en busca de actividades fraudulentas como URL maliciosas, y tráfico originado por malware. 

 
Existe una vulnerabilidad (CVE-2014-1652) de cross-site scripting en Symantec Web Gateway (SWG) 5.1.1.24 en los parámetros filter_date_period, variable y operator de las páginas /spywall/entSummary.php /spywall/custom_report.php /spywall/host_spy_report.php /spywall/repairedclients.php 
 
La misma versión también contiene una inyección SQL ciega (CVE-2014-1651) en el parámetro hostname de la página clientreport.php. 
 
Por otra parte, con CVE-2013-5017, una vulnerabilidad de inyección de comandos en la página SNMPConfig.php. Y con CVE-2014-1650 una inyección SQL en user.php. Estos problemas afectan a Symantec Web Gateway 5.2. 
 
Aunque las dos primeras vulnerabilidades fueron solucionadas en la versión de SWG 5.2. Symantec ha publicado la versión 5.2.1 que soluciona el resto de problemas y se recomienda la actualización a esta versión. 
 
Se puede actualizar desde la opción "Check for Updates" en la página "Administration->Updates". 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/06/diversas-vulnerabilidades-en-symantec.html#comments
 
Más información:
 
Symantec Web Gateway Security Issues
SYM14-010
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=securit%20y_advisory&pvid=security_advisory&year=&suid=20140616_00
 
Symantec Web Gateway contains SQL injection and cross-site scripting vulnerabilities
http://www.kb.cert.org/vuls/id/719172

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imágenes: 
Foto Imagen Gratis en Internet
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar