Symantec informa de vulnerabilidades en Security Information Manager
Debidas a errores en Java Console, las vulnerabilidades localizadas en las versiones 4.7 y 4.8 de Symantec Security Information Manager (SSIM) podrían permitir inyecciones SQL, ataques XSS, y la revelación de información sensible.
En un boletin publicado esta semana, Symantec ha informado del hallazgo de tres vulnerabilidades que afectan a su producto Security Information Manager (SSIM), una solución que permite a las empresas gestionar la información sobre los eventos de seguridad en tiempo real. Concretamente, están afectadas todas las versiones de la rama 4.7 y 4.8 anteriores a la 4.8.1., siendo esta última la versión que corrige todas dichas vulnerabilidades.
Las vulnerabilidades descubiertas son debidas a errores en SSIM Java Console. La primera (CVE-2013-1613) es una falta de comprobación de parámetros de entrada antes de ser utilizados en peticiones SQL, la cual podría ser aprovechada por un atacante remoto autenticado para realizar ataques de inyección SQL y comprometer la confidencialidad, integridad y disponibilidad del sistema afectado. La segunda vulnerabilidad (CVE-2013-1614) permitiría a un atacante remoto aprovechar un error de falta de comprobación de determinados parámetros antes de ser devueltos al usuario para llevar a cabo un ataque Cross-Site Scripting y ejecutar código HTML y script en el navegador del usuario en un sitio afectado.
La última vulnerabilidad (CVE-2013-1615) no restringe correctamente las peticiones a la API web-GUI, lo que podría permitir la revelación de información sensible a atacantes remotos no autenticados.
Noticias relacionadas
- Symantec Mobile Management Suite protege los datos empresariales móviles
- Symantec rediseña su estrategia y mira hacia los productos integrados
