CISCO Firepower Management Center cross-site-scripting sérülékenysége

CH azonosító: CH-14726
Cím: CISCO Firepower Management Center cross-site-scripting sérülékenysége
Angol cím: Cisco Firepower Management Center Stored Cross-Site Scripting Vulnerability

Publikálás dátuma: 2019.11.06.
Utolsó módosítás dátuma: 2019.11.06.


Leírás

A CVE-2019-15270 számon a CISCO FMC webalapú biztonsági központjának közepes kockázati besorolású sérülékenysége vált ismertté, amelyen keresztül a jogosultsággal rendelkező, távoli támadó tetszőleges XSS (cross-site-scripting) támadásokat hajthat végre a webes alapú kezelőfelületet használók ellen.


Leírás forrása: Gyártói referencia: tools.cisco.com
Leírás utolsó módosítása: 2019.11.06.


Elemzés leírás

A CISCO Firepower Management Center webalapú hozzáférést biztosít a CISCO rendszerek biztonsági felügyeletéhez, ide értve az URL szűrést, a tűzfalak, valamint a káros szoftverek elleni védelem kezelését is.

A sérülékenység a nem megfelelő bemeneti adatkezelésből fakad, a jogosultsággal rendelkező távoli támadónak a sikeres kihasználáshoz egy speciálisan kialakított linket kell küldenie a web UI felület felhasználójának. Sikeres támadás következtében a támadó érzékeny adatokhoz férhet hozzá az interface-szel összefüggésben.

Érintett verzió: 6.5.0 előtti verziók

A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.


Elemzés leírás forrása: Gyártói referencia: tools.cisco.com
Elemzés leírás utolsó módosítása: 2019.11.06.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 5,4 (Közepes)
Vektor: N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/E
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Változott
Bizalmasság Hatása (C): Alacsony
Sértetlenség Hatása (I): Alacsony
Rendelkezésre állás Hatása (A): Nincs

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Gyártói referencia: tools.cisco.com
CVE-2019-15270 - NVD CVE-2019-15270