Cisco Emergency Responder sérülékenységek


2014. április 5. 07:49

CH azonosító

CH-10876

Angol cím

Cisco Emergency Responder Multiple Vulnerabilities

Felfedezés dátuma

2014.04.03.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
Emergency Responder

Érintett verziók

Cisco Emergency Responder 8.x

Összefoglaló

A Cisco Emergency Responder sérülékenységeit jelentették, amelyeket kihasználva a támadók hamisításos, cross-site scripting, és cross-site request forgery támadásokat hajthatnak végre.

Leírás

  1. Bizonyos nem részletezett paramétereken keresztül átadott bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt felhasználók átirányításához felhasználásra kerülnének. Ez kihasználható felhasználók tetszőleges weboldalra történő átirányítására, pl. amikor a felhasználó egy speciálisan formázott, az érintett script-re mutató hivatkozásra klikkel, amely egy megbízható domain-ben van.
  2. Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos tevékenységeket HTTP kéréseken keresztül végezzenek el a jogosultságok megfelelő ellenőrzése nélkül. Ez kihasználható az alkalmazással kapcsolatos bizonyos változtatások elvégzésére, amikor egy bejelentkezett felhasználó egy kártékony weboldalt megtekint.
  3. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó munkamenetének környezetében, az érintett oldallal kapcsolatban.

A sérülékenységek a 8.6(1.10000.11), 8.6 és azt megelőző verziókat érintik.

Megoldás

Ismeretlen

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2014-2114 - NVD CVE-2014-2114
CVE-2014-2115 - NVD CVE-2014-2115
CVE-2014-2116 - NVD CVE-2014-2116
CVE-2014-2117 - NVD CVE-2014-2117
SECUNIA 57726

Legfrissebb sérülékenységek
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
Tovább a sérülékenységekhez »