Cisco Emergency Responder sérülékenységek

CH azonosító

CH-10876

Angol cím

Cisco Emergency Responder Multiple Vulnerabilities

Felfedezés dátuma

2014.04.03.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
Emergency Responder

Érintett verziók

Cisco Emergency Responder 8.x

Összefoglaló

A Cisco Emergency Responder sérülékenységeit jelentették, amelyeket kihasználva a támadók hamisításos, cross-site scripting, és cross-site request forgery támadásokat hajthatnak végre.

Leírás

  1. Bizonyos nem részletezett paramétereken keresztül átadott bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt felhasználók átirányításához felhasználásra kerülnének. Ez kihasználható felhasználók tetszőleges weboldalra történő átirányítására, pl. amikor a felhasználó egy speciálisan formázott, az érintett script-re mutató hivatkozásra klikkel, amely egy megbízható domain-ben van.
  2. Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos tevékenységeket HTTP kéréseken keresztül végezzenek el a jogosultságok megfelelő ellenőrzése nélkül. Ez kihasználható az alkalmazással kapcsolatos bizonyos változtatások elvégzésére, amikor egy bejelentkezett felhasználó egy kártékony weboldalt megtekint.
  3. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó munkamenetének környezetében, az érintett oldallal kapcsolatban.

A sérülékenységek a 8.6(1.10000.11), 8.6 és azt megelőző verziókat érintik.

Megoldás

Ismeretlen

Hivatkozások

Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2014-2114 - NVD CVE-2014-2114
CVE-2014-2115 - NVD CVE-2014-2115
CVE-2014-2116 - NVD CVE-2014-2116
CVE-2014-2117 - NVD CVE-2014-2117
SECUNIA 57726