(https://i.postimg.cc/gjPcmLGg/Sophos.png) (https://postimages.org/)
El proveedor de seguridad cibernética Sophos abordó tres vulnerabilidades en Sophos Web Appliance, incluida una falla crítica, rastreada como CVE-2023-1671 (puntaje CVSS de 9.8 ), que puede conducir a la ejecución de código.
La falla CVE-2023-1671 es un problema de inyección de comando previo a la autenticación que reside en el controlador warn-proceed, afecta a los dispositivos anteriores a la versión 4.3.10.4.
La compañía también abordó un problema de ejecución de código de alta gravedad, rastreado como CVE-2022-4934. El problema es una vulnerabilidad de inyección de comando posterior a la autenticación que reside en el asistente de excepción, puede permitir que los administradores ejecuten código arbitrario.
El proveedor también corrigió una vulnerabilidad de secuencias de comandos entre sitios reflejada (XSS) de gravedad media rastreada como CVE-2020-36692. Un atacante puede aprovechar la vulnerabilidad para ejecutar código JavaScript en el navegador de la víctima.
El atacante puede desencadenar la falla al engañar a la víctima para que envíe un formulario malicioso en un sitio web controlado por el atacante mientras está conectado a Sophos Web Appliance.
Todas las vulnerabilidades anteriores fueron descubiertas y divulgadas responsablemente a Sophos por investigadores de seguridad externos a través del programa de recompensas por errores de Sophos.
Sophos Web Appliance alcanzará el estado de fin de vida útil (EoL) el 20 de julio de 2023. La empresa recomienda a los clientes que reemplacen los dispositivos con Sophos Firewall.
Fuente:
SecurityAffairs
https://securityaffairs.com/144623/security/sophos-web-appliance-flaws.html