Vulnerabilidad en WatchGuard Fireware (CVE-2017-14615)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/09/2017
Última modificación:
20/04/2025
Descripción
Se ha descubierto un problema FBX-5313 en WatchGuard Fireware en versiones anteriores a la 12.0. Cuando se realiza un intento fallido de inicio de sesión en el punto de conexión de inicio de sesión de la interfaz XML-RPC, si el código JavaScript, codificado para ser consumido por los analizadores sintácticos XML, se embebe como valor del elemento usuario, el código será procesado en el contexto de cualquier usuario que haya iniciado sesión en la interfaz web y que visite las secciones de "Events" y "All" de"Traffic Monitor". Como efecto secundario, no podrán visualizarse más eventos en el monitor de tráfico hasta que se reinicie el dispositivo.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:watchguard:fireware:*:*:*:*:*:*:*:* | 11.12.4 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://seclists.org/bugtraq/2017/Sep/22
- https://watchguardsupport.secure.force.com/publicKB?type=KBSecurityIssues&SFDCID=kA62A0000000L0HSAU&lang=en_US
- https://www.sidertia.com/Home/Community/Blog/2017/09/18/Fixed-Fireware-XXE-DOS-and-stored-XSS-vulnerabilities-discovered-by-Sidertia
- http://seclists.org/bugtraq/2017/Sep/22
- https://watchguardsupport.secure.force.com/publicKB?type=KBSecurityIssues&SFDCID=kA62A0000000L0HSAU&lang=en_US
- https://www.sidertia.com/Home/Community/Blog/2017/09/18/Fixed-Fireware-XXE-DOS-and-stored-XSS-vulnerabilities-discovered-by-Sidertia