CH azonosító
CH-4930Angol cím
CiscoWorks Common Services "device" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.05.18.Súlyosság
AlacsonyÉrintett rendszerek
CISCOCiscoWorks Common Services Software
Érintett verziók
CiscoWorks Common Services Software 3.x
Összefoglaló
A CiscoWorks Common Services olyan sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás
A Framework Help servletben található cwhp/device.center.do-nak átadott “device” paraméter nincs megfelelően ellenőrizve, mielőtt felhasználnák. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngésző munkamenetében, az érintett oldal vonatkozásában.
A sérülékenységet a 3.3. és korábbi verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 44645
CVE-2011-0961 - NVD CVE-2011-0961
Gyártói referencia: tools.cisco.com
Egyéb referencia: www.senseofsecurity.com.au