Cisco Video Surveillance Operations Manager sérülékenységek

CH azonosító

CH-8722

Angol cím

Cisco Video Surveillance Operations Manager Multiple Vulnerabilities

Felfedezés dátuma

2013.03.14.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
Video Surveillance Operations Manager (VSOM)

Érintett verziók

Cisco Video Surveillance Operations Manager (VSOM)

Összefoglaló

A Cisco Video Surveillance Operations Manager olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak bizonyos biztonsági szabályok megkerülésére, cross-site scripting (XSS/CSS) támadások kezdeményezésére, és egyes bizalmas információk felfedésére.

Leírás

  1. Bizonyos URL-hez fűzött bemeneti adat (pl. a vsom/index.php) nincs megfelelően ellenőrizve, mielőtt a felhasználó részére visszaküldésre kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. A “log” paraméterrel a BWT/utils/logs/read_log.jsp részére átadott bemeneti adat (amikor “filter” be van állítva) nincs megfelelően ellenőrizve, mielőtt fájlok olvasásában kerülne felhasználásra. Ez könyvtárbejárás támadásokkal kihasználható tetszőleges fájlok tartalmának felfedésére.
  3. Bizonyos paraméterrel a monitor/logselect.php részére átadott bemenet nincs megfelelően ellenőrizve, mielőtt fájlok olvasásában kerülne felhasználásra. Ez könyvtárbejárás támadásokkal kihasználható tetszőleges fájlok tartalmainak felfedésére.
  4. Az alkalmazás nem korlátozza megfelelően a hozzáférést pl. a broadware.jsp-hez, amely kihasználható videó megfigyelési adatfolyam megszerzésére.

A sérülékenységek az összes 6.x verziót érintik.

Megoldás

Frissítsen a legújabb verzióra