Cross-site scripting en Nessus
Tenable ha confirmado la corrección de una vulnerabilidad en Nessus que podría permitir a un atacante autenticado realizar ataques de cross-site scripting almacenados.
La vulnerabilidad, con CVE-2017-5179, reside en un error en el filtrado de código html facilitado por el usuario antes de mostrar la salida. Según ha confirmado Tenable el aviso original, de Asif Balasinor, cubría un XSS reflejado que se consideró que no tenía ningún riesgo ya que sólo podía ser activado por el usuario autenticado. Pero durante la evaluación del problema, el equipo de desarrollo descubrió un problema diferente que podía permitir XXS almacenados. Ambos problemas han sido solucionados, aunque consideran que sólo el XSS almacenado plantea un riesgo.
Se ven afectadas las versiones de Nessus 6.8.0, 6.8.1, 6.9.0, 6.9.1 y 6.9.2. Tenable ha publicado la versión Nessus 6.9.3 que corrige los problemas. La actualización está disponible desde el Portal de Soporte:
Más información:
[R1] Nessus 6.9.3 Fixes One Vulnerability
Antonio Ropero
Twitter: @aropero
Via: unaaldia.hispasec.com
Cross-site scripting en Nessus
Reviewed by Zion3R
on
18:34
Rating: