DFN-CERT Portal

Schwachstellen

DFN-CERT-2018-0264: Cisco Data Center Analytics Framework: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe

Historie

Version 1 (2018-02-08 17:29)
Neues Advisory

Betroffene Software

Cisco Data Center Analytics Framework

Betroffene Plattformen

Cisco Hardware

Lösung

Patch

Cisco Security Advisory cisco-sa-20180207-dcaf

Patch

Cisco Security Advisory cisco-sa-20180207-dcaf1

Beschreibung

Zwei Schwachstellen im Cisco Data Center Analytics Framework ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting-Angriffen.

Cisco bestätigt die Schwachstellen und stellt Sicherheitsupdates bereit. Details über verwundbare oder fehlerbereinigte Versionen stehen nicht öffentlich zur Verfügung.

Schwachstellen

CVE-2018-0129: Schwachstelle in Cisco Data Center Analytics Framework ermöglicht Reflected Cross-Site-Scripting-Angriff

In der Web-basierten Verwaltungsschnittstelle des Cisco Data Center Analytics Frameworks werden Benutzereingaben nicht ausreichend überprüft. Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, wenn er einen Benutzer der Schnittstelle zum Besuch einer speziell präparierten URL verleiten kann, um beliebigen Skript-Code im Kontext der Schnittstelle auszuführen und Zugriff auf sensitive Browser-Daten zu erhalten. Ein entfernter, nicht authentisierter Angreifer kann einen Reflected Cross-Site-Scripting-Angriff durchführen.

CVE-2018-0128: Schwachstelle in Cisco Data Center Analytics Framework ermöglicht Stored Cross-Site-Scripting-Angriff

In der Web-basierten Verwaltungsschnittstelle des Cisco Data Center Analytics Frameworks werden Benutzereingaben nicht ausreichend überprüft. Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, wenn er einen Benutzer der Schnittstelle zum Besuch einer speziell präparierten URL verleiten kann, um beliebigen Skript-Code im Kontext der Schnittstelle auszuführen und Zugriff auf sensitive Browser-Daten zu erhalten. Ein entfernter, nicht authentisierter Angreifer kann einen Stored Cross-Site-Scripting-Angriff durchführen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.