2017-1172: Cisco Identity Services Engine: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2017-07-06 16:32): Neues Advisory

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Zwei Schwachstellen in der Cisco Identity Services Engine ermöglichen in einem Fall (CVE-2017-6733) einem entfernten, nicht authentifizierten und im anderen Fall (CVE-2017-6734) einem entfernten, authentifizierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs.

Cisco bestätigt die Schwachstellen für die Cisco Identity Services Engine (ISE) 3300 Series Appliances und beschreibt den Status der Schwachstellen über die jeweiligen Bug IDs als 'fixed'. Angaben über nicht verwundbare Softwareversionen stehen allerdings nicht zur Verfügung.

Entsprechend der Cisco Bug ID CSCvd87482 betrifft die Schwachstelle CVE-2017-6733 die Cisco Identity Services Engine Software Versionen 2.1(102.101), 2.2(0.283) und 2.3(0.151). In der korrespondierenden CVRF-Datei des Advisories werden allerdings auch die Versionen 2.1 Base, 2.1(0.474), 2.1(0.800) sowie 2.2 Base als verwundbar aufgeführt, während die Version 2.3(0.151) nicht genannt wird.

Die Schwachstelle CVE-2017-6734 ist laut der Cisco Bug ID CSCvd74794 in den Cisco Identity Services Engine Software Versionen 1.3(0.909) und 2.1(0.800) enthalten. Über die CVRF-Version des Advisories werden noch die Versionen 1.3(0.876), 1.3(0.722), 1.3(106.146), 1.3(120.135), 2.1 Base, 2.1(0.474) und 2.1(102.101) als verwundbare Versionen ergänzt.

Schwachstellen:

CVE-2017-6733

Schwachstelle in Cisco Identity Services Engine Software ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-6734