Cisco Secure ACS sérülékenységek

CH azonosító

CH-6824

Angol cím

Cisco Secure ACS Multiple Vulnerabilities

Felfedezés dátuma

2012.05.08.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Secure ACS

Érintett verziók

Cisco Secure ACS 5.x

Összefoglaló

A Cisco Secure ACS több sérülékenységét jelentették, amelyek közül néhány hatása ismeretlen, a többit kihasználva a támadók script beillesztéses, cross-site request forgery (XSS/CSS) és SQL beszúrásos (SQL insertion) támadásokat indíthatnak.

Leírás

  1. Egy nem részletezett sérülékenységet jelentettek, amelyről jelenleg nincs több információ.
  2. Az alkalmazás lehetővé tesz a felhasználóknak bizonyos műveleteket HTTP kéréseken keresztül anélkül, hogy bármilyen érvényességi vizsgálatnak alávetné a kéréseket. Ezt kihasználva a támadók bizonyos műveleketet tudnak végrehajtani egy káros weboldalon keresztül, ha a bejelentkezett felhasználó meglátogat egy káros weboldalt.
  3. Bizonyos, részletesen nem ismertetett bemeneti adatok nincsenek megfelelően ellenőrizve felhasználás előtt. Ezt kihasználva, tetszőleges HTML és szkript kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  4. Bizonyos, részletesen nem ismertetett bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt SQL lekérdezésben használnák azokat. Ezt kihasználva, tetszőleges HTML és szkript kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységeket a 5.2.0.26 patch 9 előtti verzióknál jelentették.

Megoldás

Frissítsen a legújabb verzióra