2017-2156: Cisco Unified Computing System Central Software: Zwei Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriff

Historie:

Version 1 (2017-11-30 11:54)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Zwei Schwachstellen in Cisco Unified Computing System (UCS) Central Software ermöglichen einem entfernten Angreifer die Durchführung verschiedener Angriffe: Die Schwachstelle CVE-2017-12348 ermöglicht einem einfach authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs im Kontext des Web-Management-Interfaces und das Ausspähen sensitiver Browser-Daten eines Benutzers. Die Schwachstelle CVE-2017-12349 ermöglicht einem nicht authentisierten Angreifer mit Kenntnis einer validen Benutzer-Session-ID das Ausspähen von Informationen und die Ausführung von Aktionen im Kontext des Benutzers.

Cisco bestätigt die Schwachstellen in den zugehörigen Bug IDs CSCvf71978 und CSCvf71986 für die Version 2.2(1a)A der Cisco UCS Central Software und gibt den Status jeweils mit 'Fixed' an, es werden also Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung gestellt, Angaben zu gepatchen Versionen werden allerdings nicht gemacht.

Schwachstellen:

CVE-2017-12348

Schwachstelle in Cisco Unified Computing System Central Software ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-12349

Schwachstelle in Cisco Unified Computing System Central Software ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.