DFN-CERT

Advisory-Archiv

2017-1065: Cisco Prime Infrastructure, Cisco Evolved Programmable Network Manager: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-06-22 13:02)
Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Mehrere Schwachstellen in Cisco Prime Infrastructure und Cisco Evolved Programmable Network Manager ermöglichen einem entfernten, einfach authentisierten Angreifer einen XML External Entity (XEE) Injection-Angriff durchzuführen, wodurch dieser Daten lesen und schreiben sowie beliebigen Programmcode zur Ausführung bringen kann. Ein entfernter, nicht authentisierter Angreifer kann zudem verschiedene Cross-Site-Scripting (XSS)-Angriffe gegen einen Benutzer der Web-basierten Management-Schnittstelle von Cisco Prime Infrastructure bzw. Cisco Evolved Programmable Network Manager durchführen, wodurch sensitive Informationen ausgespäht sowie beliebige SQL Kommandos eingeschleust und zur Ausführung gebracht werden können.

Cisco bestätigt die schwerwiegendste Schwachstelle für die Cisco Prime Infrastructure Releases 1.1 bis inklusive 3.1.6 sowie verschiedene Versionen von Cisco Evolved Programmable Network Manager, verweist für die weiteren Schwachstellen auf die jeweiligen Cisco Bug IDs und stellt Cisco Prime Infrastructure 3.1.6 Update 1 sowie Cisco Evolved Programmable Network Manager 2.1 MP2 als Sicherheitsupdates zur Verfügung. Darüber hinaus kündigt Cisco die Veröffentlichung der Cisco Prime Infrastructure Version 3.1.7 an. Die Schwachstellen CVE-2017-6724 und CVE-2017-6725 betreffen ausschließlich Cisco Prime Infrastructure in den Versionen 2.2(2) bzw. 3.1(0.0).

Schwachstellen:

CVE-2017-6662

Schwachstelle in Cisco Prime Infrastructure und Evolved Programmable Network Manager ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-6698

Schwachstelle in Cisco Prime Infrastructure und Evolved Programmable Network Manager ermöglicht Ausführung beliebiger Kommandos

CVE-2017-6699

Schwachstelle in Cisco Prime Infrastructure und Evolved Programmable Network Manager ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-6700

Schwachstelle in Cisco Prime Infrastructure und Evolved Programmable Network Manager ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-6724 CVE-2017-6725

Schwachstellen in Cisco Prime Infrastructure ermöglichen Cross-Site-Scripting-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.