Cisco Wireless Control System cross-site scripting sérülékenységek

CH azonosító

CH-3440

Felfedezés dátuma

2010.08.05.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
Wireless Control System (WCS)

Érintett verziók

Cisco Wireless Control System (WCS)

Összefoglaló

A Cisco Wireless Control System több sérülékenységét is jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.

Leírás

  1. A webacs/QuickSearchAction.do “searchText” paraméterének átadott bemenet ellenőrzése nem megfelelő a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására, mialatt a felhasználó az érintett oldalon böngészik.
  2. Egyes nem részletezett bemenetek megfelelő ellenőrzés nélkül kerülnek visszaadásra a felhasználónak. Ez kihasználható tetszőleges HTML és script kód futtatására, mialatt a felhasználó az érintett oldalon böngészik.
  3. A searchClientAction.do és switchGeneralAction.do-nak átadott bemenetek megfelelő ellenőrzés nélkül kerülnek visszaadásra a felhasználónak. Ez kihasználható tetszőleges HTML és script kód futtatására, mialatt a felhasználó az érintett oldalon böngészik.
  4. Bizonyos nem meghatározott bemeneti adatok nem megfelelően vannan ellenőrizve az SQL kérésekben történő használat előzz. Ez kihasználható az SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.

    A sérülékenység sikeres kihasználásával lehetőség nyílik a rendszer konfigurációk módosítására, felhasználók módosítására, készítésére és törlésére vagy a WCS által menedzselt vezeték nélküli eszköz konfigurációjának módosítására.

 

Megoldás

Frissítsen a legújabb verzióra