CH azonosító
CH-6824Angol cím
Cisco Secure ACS Multiple VulnerabilitiesFelfedezés dátuma
2012.05.08.Súlyosság
KözepesÖsszefoglaló
A Cisco Secure ACS több sérülékenységét jelentették, amelyek közül néhány hatása ismeretlen, a többit kihasználva a támadók script beillesztéses, cross-site request forgery (XSS/CSS) és SQL beszúrásos (SQL insertion) támadásokat indíthatnak.
Leírás
- Egy nem részletezett sérülékenységet jelentettek, amelyről jelenleg nincs több információ.
- Az alkalmazás lehetővé tesz a felhasználóknak bizonyos műveleteket HTTP kéréseken keresztül anélkül, hogy bármilyen érvényességi vizsgálatnak alávetné a kéréseket. Ezt kihasználva a támadók bizonyos műveleketet tudnak végrehajtani egy káros weboldalon keresztül, ha a bejelentkezett felhasználó meglátogat egy káros weboldalt.
- Bizonyos, részletesen nem ismertetett bemeneti adatok nincsenek megfelelően ellenőrizve felhasználás előtt. Ezt kihasználva, tetszőleges HTML és szkript kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- Bizonyos, részletesen nem ismertetett bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt SQL lekérdezésben használnák azokat. Ezt kihasználva, tetszőleges HTML és szkript kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységeket a 5.2.0.26 patch 9 előtti verzióknál jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49101
CVE-2011-3293 - NVD CVE-2011-3293
CVE-2011-3317 - NVD CVE-2011-3317
Gyártói referencia: www.cisco.com