Többféle Cisco termék Online Help rendszerének cross-site scripting támadásos sebezhetősége

CH azonosító

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

CISCO VPN Client 2.x
CISCO VPN 5000 Client 5.x
CISCO Unified Video Advantage 2.x
CISCO Unified Personal Communicator 1.x
CISCO Unified MeetingPlace 4 - 6.x, Express 1 - 2.x
CISCO Unified CallManager 4 - 5.x
CISCO Secure ACS 4.x
CISCO Router and Security Device Manager (SDM)
CISCO IP Communicator 1 - 2.x
CISCO Catalyst 6500 Series Network Analysis module (NAM-1/NAM-2)
CISCO Call Manager 3 - 5.x
CISCO WAN Manager (CWM) 10 - 12.x, 15.x
CISCO CiscoWorks Campus Manager 3 - 4.x
CISCO CiscoWorks Common Services 1 - 3.x
CISCO CiscoWorks Internetwork Performance Monitor (IPM) 2.x
CISCO CiscoWorks Management Center for IPS Sensors (IPSMC) 2.x
CISCO CiscoWorks Monitoring Center for Security 1 - 2.x

Összefoglaló

Egy olyan sebezhetőséget jelentettek különféle Cisco termékekben, melyet rosszindulatú emberek felhasználhattak cross-site scripting támadások folytatására.

Leírás

A PreSearch.html-nek vagy PreSearch.class-nak bemenetként átadott kereső kód (ez függ a software-től vagy az eszköztől) nincs teljesen ellenőrizve mielőtt visszaadná azt a felhasználónak. Ezt kiaknázva lehetővé válik tetszőleges HTML és script kód lefuttatása a felhasználó böngészésőjének munkamenetében alatt az érintett software-rel vagy eszközzel összefüggésben.

Megoldás

A gyártó a PreSearch.html and PreSearch.class állományok átnevezését ajánlja, ha lehetséges.

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.cisco.com
SECUNIA 24499
CVE-2007-1467 - NVD CVE-2007-1467