Többféle Cisco termék Online Help rendszerének cross-site scripting támadásos sebezhetősége

CH azonosító

CH-441

Felfedezés dátuma

2007.03.15.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Call Manager
Catalyst 6500 Series Network Analysis module (NAM-1/NAM-2)
CiscoWorks Campus Manager
CiscoWorks Common Services
CiscoWorks Internetwork Performance Monitor (IPM)
CiscoWorks Management Center for IPS Sensors (IPSMC)
CiscoWorks Monitoring Center for Security
IP Communicator
Router and Security Device Manager (SDM)
Secure ACS
Unified CallManager
Unified MeetingPlace
Unified Personal Communicator
Unified Video Advantage
VPN 5000 Client
VPN Client
WAN Manager (CWM)

Érintett verziók

CISCO VPN Client 2.x
CISCO VPN 5000 Client 5.x
CISCO Unified Video Advantage 2.x
CISCO Unified Personal Communicator 1.x
CISCO Unified MeetingPlace 4 - 6.x, Express 1 - 2.x
CISCO Unified CallManager 4 - 5.x
CISCO Secure ACS 4.x
CISCO Router and Security Device Manager (SDM)
CISCO IP Communicator 1 - 2.x
CISCO Catalyst 6500 Series Network Analysis module (NAM-1/NAM-2)
CISCO Call Manager 3 - 5.x
CISCO WAN Manager (CWM) 10 - 12.x, 15.x
CISCO CiscoWorks Campus Manager 3 - 4.x
CISCO CiscoWorks Common Services 1 - 3.x
CISCO CiscoWorks Internetwork Performance Monitor (IPM) 2.x
CISCO CiscoWorks Management Center for IPS Sensors (IPSMC) 2.x
CISCO CiscoWorks Monitoring Center for Security 1 - 2.x

Összefoglaló

Egy olyan sebezhetőséget jelentettek különféle Cisco termékekben, melyet rosszindulatú emberek felhasználhattak cross-site scripting támadások folytatására.

Leírás

A PreSearch.html-nek vagy PreSearch.class-nak bemenetként átadott kereső kód (ez függ a software-től vagy az eszköztől) nincs teljesen ellenőrizve mielőtt visszaadná azt a felhasználónak. Ezt kiaknázva lehetővé válik tetszőleges HTML és script kód lefuttatása a felhasználó böngészésőjének munkamenetében alatt az érintett software-rel vagy eszközzel összefüggésben.

Megoldás

A gyártó a PreSearch.html and PreSearch.class állományok átnevezését ajánlja, ha lehetséges.