Cisco Wireless Control System cross-site scripting sérülékenységek

CH azonosító

CH-3440

Felfedezés dátuma

2010.08.05.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
Wireless Control System (WCS)

Érintett verziók

Cisco Wireless Control System (WCS)

Összefoglaló

A Cisco Wireless Control System több sérülékenységét is jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.

Leírás

  1. A webacs/QuickSearchAction.do “searchText” paraméterének átadott bemenet ellenőrzése nem megfelelő a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására, mialatt a felhasználó az érintett oldalon böngészik.
  2. Egyes nem részletezett bemenetek megfelelő ellenőrzés nélkül kerülnek visszaadásra a felhasználónak. Ez kihasználható tetszőleges HTML és script kód futtatására, mialatt a felhasználó az érintett oldalon böngészik.
  3. A searchClientAction.do és switchGeneralAction.do-nak átadott bemenetek megfelelő ellenőrzés nélkül kerülnek visszaadásra a felhasználónak. Ez kihasználható tetszőleges HTML és script kód futtatására, mialatt a felhasználó az érintett oldalon böngészik.
  4. Bizonyos nem meghatározott bemeneti adatok nem megfelelően vannan ellenőrizve az SQL kérésekben történő használat előzz. Ez kihasználható az SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.

    A sérülékenység sikeres kihasználásával lehetőség nyílik a rendszer konfigurációk módosítására, felhasználók módosítására, készítésére és törlésére vagy a WCS által menedzselt vezeték nélküli eszköz konfigurációjának módosítására.

 

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: www.cisco.com
Gyártói referencia: www.cisco.com
SECUNIA 40827
Egyéb referencia: www.tomneaves.com
CVE-2010-2826 - NVD CVE-2010-2826
CVE-2010-2986 - NVD CVE-2010-2986
CVE-2010-2987 - NVD CVE-2010-2987
CVE-2010-2988 - NVD CVE-2010-2988


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
CVE-2025-7329 – Rockwell NAT cross-site scripting sérülékenysége
CVE-2025-7328 – Rockwell NAT hiányzó autentikáció sérülékenység
CVE-2011-3402 – Microsoft Windows Remote Code Execution sérülékenysége
Tovább a sérülékenységekhez »