Cisco Emergency Responder sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Cisco Emergency Responder 8.x

Összefoglaló

A Cisco Emergency Responder sérülékenységeit jelentették, amelyeket kihasználva a támadók hamisításos, cross-site scripting, és cross-site request forgery támadásokat hajthatnak végre.

Leírás

1. Bizonyos nem részletezett paramétereken keresztül átadott bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt felhasználók átirányításához felhasználásra kerülnének. Ez kihasználható felhasználók tetszőleges weboldalra történő átirányítására, pl. amikor a felhasználó egy speciálisan formázott, az érintett script-re mutató hivatkozásra klikkel, amely egy megbízható domain-ben van.
2. Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos tevékenységeket HTTP kéréseken keresztül végezzenek el a jogosultságok megfelelő ellenőrzése nélkül. Ez kihasználható az alkalmazással kapcsolatos bizonyos változtatások elvégzésére, amikor egy bejelentkezett felhasználó egy kártékony weboldalt megtekint.
3. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó munkamenetének környezetében, az érintett oldallal kapcsolatban.

A sérülékenységek a 8.6(1.10000.11), 8.6 és azt megelőző verziókat érintik.

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2014-2114 - NVD CVE-2014-2114
CVE-2014-2115 - NVD CVE-2014-2115
CVE-2014-2116 - NVD CVE-2014-2116
CVE-2014-2117 - NVD CVE-2014-2117
SECUNIA 57726