Cisco Connected Grid Network Management System sérülékenységek

CH azonosító

CH-8833

Angol cím

Cisco Connected Grid Network Management System Multiple Vulnerabilities

Felfedezés dátuma

2013.04.01.

Súlyosság

Alacsony

Érintett rendszerek

CISCO

Érintett verziók

Cisco Connected Grid Network Management System 2.x

Összefoglaló

A Cisco Connected Grid Network Management System több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS) és SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.

Leírás

  1. A lista komponenssel kapcsolatos bizonyos bemeneti adat nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. Egy szerkeszthető mezőn keresztül átadott bemeneti adat nem megfelelően van megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ezt kihasználva manipulálni lehet az SQL lekérdezéséket tetszőleges SQL kód befecskendezésével.

A sérülékenységeket a 2.0A verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

A javítás hamarosan elérhető lesz.