Cisco ha publicado un boletín de seguridad que resuelve una vulnerabilidad de cross-site request forgery (CSRF) en su producto WebEx Social.
Cisco WebEx Social es una plataforma que combina las redes sociales, la creación de contenidos y las comunicaciones en tiempo real. WebEx Social permite compartir información entre profesionales tanto dentro de la misma organización como en diferentes áreas geográficas.
Cisco ha corregido una fallo que afecta a múltiples páginas web de su producto WebEx Social que podrían permitir llevar a cabo ataques de falsificación de petición contra el usuario de la interfaz web.
Dichos ataques consisten en la manipulación de una petición HTTP que ejecuta algún tipo de acción en un sitio web (por ejemplo, dar de baja al usuario). Como el sitio web autentico no comprueba el origen de la petición la da por válida y ejecuta la acción. Esta petición puede ser alojada dentro de una página maliciosa en un sitio controlado por un atacante, por ejemplo como un formulario web. Si el usuario interactúa con el formulario y envía la petición, esta será enviada con la sesión del usuario al sitio objetivo. Si el usuario está autenticado en ese momento la acción será ejecutada.
El error es debido a una falta de comprobación de las solicitudes HTTP. Un intruso remoto no autenticado podría aprovechar esta vulnerabilidad para enviar peticiones arbitrarias a través del navegador web de un usuario del sistema, convenciéndole de seguir un enlace o visitar un sitio web controlado por el atacante.
A la vulnerabilidad le ha sido asignado el CVE-2013-3392. Afecta a Cisco WebEx Social 3.4(1) y versiones anteriores. En la versión 3.5(0) ha sido corregido el error.
Más información:
Cisco WebEx Social Cross-Site Request Forgery Vulnerability (CSCuh10405, CSCuh10355): http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3392
http://www.laflecha.net/canales/seguridad/noticias/cross-site-request-forgery-en-cisco-webex-social