2017-2156: Cisco Unified Computing System Central Software: Zwei Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2017-11-30 11:54)
- Neues Advisory
Betroffene Software
Netzwerk
Betroffene Plattformen
Hardware
Cisco
Beschreibung:
Zwei Schwachstellen in Cisco Unified Computing System (UCS) Central Software ermöglichen einem entfernten Angreifer die Durchführung verschiedener Angriffe: Die Schwachstelle CVE-2017-12348 ermöglicht einem einfach authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs im Kontext des Web-Management-Interfaces und das Ausspähen sensitiver Browser-Daten eines Benutzers. Die Schwachstelle CVE-2017-12349 ermöglicht einem nicht authentisierten Angreifer mit Kenntnis einer validen Benutzer-Session-ID das Ausspähen von Informationen und die Ausführung von Aktionen im Kontext des Benutzers.
Cisco bestätigt die Schwachstellen in den zugehörigen Bug IDs CSCvf71978 und CSCvf71986 für die Version 2.2(1a)A der Cisco UCS Central Software und gibt den Status jeweils mit 'Fixed' an, es werden also Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung gestellt, Angaben zu gepatchen Versionen werden allerdings nicht gemacht.
Schwachstellen:
CVE-2017-12348
Schwachstelle in Cisco Unified Computing System Central Software ermöglicht Cross-Site-Scripting-AngriffCVE-2017-12349
Schwachstelle in Cisco Unified Computing System Central Software ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.