2017-2171: Cisco Data Center Network Manager: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-11-30 17:15): Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Cisco Data Center Network Manager ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen, die Weiterleitung von Benutzern der Software auf potentiell schädliche Webseiten und die Darstellung falscher Informationen. Ein entfernter, einfach authentisierter Angreifer kann eine weitere Schwachstelle mit Hilfe speziell präparierter HTTP-Anfragen ausnutzen, um bestimmte Konfigurationseinstellungen von Cisco Data Center Network Manager zu manipulieren und beliebigen Programmcode zur Ausführung zu bringen.

Cisco informiert über die Schwachstellen und stellt über die einzelnen zugehörigen Cisco Bug IDs Informationen zu betroffenen Softwareversionen und 'Known Fixed Releases' bereit. Die Versionen 10.3(1)R(0.74), 10.3(1)R(0.79), 10.4(1)S11, 10.4(1)S19, 10.4(1)S9, 10.4(1.34)S0, 10.4(1.40)S0, 10.4(1.41)S0, 10.4(1.65)S0 und 11.0(0.238)S0 werden zumindest für jeweils einige der Schwachstellen auf Basis der Versionsangaben für Cisco MDS 9500 Series Multilayer Directors als sicher benannt.

Schwachstellen:

CVE-2017-12343

Schwachstelle in Cisco Data Center Network Manager ermöglicht u.a. Ausführung beliebigen Programmcodes

CVE-2017-12344

Schwachstelle in Cisco Data Center Network Manager ermöglicht Darstellung falscher Informationen

CVE-2017-12345

Schwachstelle in Cisco Data Center Network Manager ermöglicht Darstellung falscher Informationen

CVE-2017-12346

Schwachstelle in Cisco Data Center Network Manager ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-12347