Cisco IOS Cross-Site Scripting és Cross-Site kérés hamisításos sérülékenységek

CH azonosító

CH-1932

Felfedezés dátuma

2009.02.06.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
IOS

Érintett verziók

CISCO IOS 12.x, R12.x

Összefoglaló

A Cisco IOS több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak cross-site scripting és cross-site kérés hamisításos támadások lefolytatására.

Leírás

A Cisco IOS több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak cross-site scripting és cross-site kérés hamisításos támadások lefolytatására.

  1. A futtatott parancsok URL-jein keresztül átadott bemenet nincs megfelelően
    ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges
    HTML és script kódok lefuttatására, amikor a felhasználó az érintett oldalak
    között böngészik.
  2. Az eszköz lehetővé teszi, hogy a felhasználók bizonyos tevékenységeket
    hajtsanak végre a HTTP kéréseken keresztül, anélkül, hogy a kérések érvényessége
    ellenőrzésre kerülne. Ez kihasználható az eszköz konfigurációjának a módosítására,
    ha a felhasználó ellátogat egy káros web oldalra.

A sérülékenységet a Cisco IOS 12.4(23) hardverrel egybeépített szoftver verziójában
jelentették. Más verziók is lehetnek érintettek.

Megoldás

Szűrje proxyval a káros karaktereket és karaktersorozatokat!

Ne látogasson meg megbízhatatlan weboldalakat, ha bejelentkezik az eszközre!