2017-1749: Cisco Spark: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2017-10-05 15:05)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in der Weboberfläche von Cisco Spark ausnutzen, um Skript-Programmcode in die Oberfläche zu injizieren und dadurch einen Cross-Site-Scripting (XSS)-Angriff auf andere Benutzer der Software durchzuführen. Der Angreifer kann dadurch Programmcode im Browser-Kontext anderer Benutzer zur Ausführung bringen oder möglicherweise sensitive Informationen über diese ausspähen.

Cisco bestätigt die Schwachstelle in der webbasierten Cisco Spark Messaging Software sowohl für den Zugriff auf Cisco Spark Messages über die API der Software als auch über den normalen Weblogin. Laut Informationen in den dem Sicherheitshinweis angehängten Cisco Bug IDs ist die Schwachstelle für den API-Zugriff bereits behoben. Benutzer, die sich über den Weblogin anmelden, sind weiterhin betroffen.

Schwachstellen:

CVE-2017-12269

Schwachstelle in Cisco Spark ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.