CH azonosító
CH-10876Angol cím
Cisco Emergency Responder Multiple VulnerabilitiesFelfedezés dátuma
2014.04.03.Súlyosság
AlacsonyÖsszefoglaló
A Cisco Emergency Responder sérülékenységeit jelentették, amelyeket kihasználva a támadók hamisításos, cross-site scripting, és cross-site request forgery támadásokat hajthatnak végre.
Leírás
- Bizonyos nem részletezett paramétereken keresztül átadott bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt felhasználók átirányításához felhasználásra kerülnének. Ez kihasználható felhasználók tetszőleges weboldalra történő átirányítására, pl. amikor a felhasználó egy speciálisan formázott, az érintett script-re mutató hivatkozásra klikkel, amely egy megbízható domain-ben van.
- Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos tevékenységeket HTTP kéréseken keresztül végezzenek el a jogosultságok megfelelő ellenőrzése nélkül. Ez kihasználható az alkalmazással kapcsolatos bizonyos változtatások elvégzésére, amikor egy bejelentkezett felhasználó egy kártékony weboldalt megtekint.
- Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó munkamenetének környezetében, az érintett oldallal kapcsolatban.
A sérülékenységek a 8.6(1.10000.11), 8.6 és azt megelőző verziókat érintik.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2014-2114 - NVD CVE-2014-2114
CVE-2014-2115 - NVD CVE-2014-2115
CVE-2014-2116 - NVD CVE-2014-2116
CVE-2014-2117 - NVD CVE-2014-2117
SECUNIA 57726