‫ چندين آسيب پذيري در Cisco Emergency Responder

IRCAD2014043234

شماره: IRCAD2014043234

تاريخ انتشار:2014-04-04

ميزان حساسيت:بسيار مهم

نرم افزارهاي تحت تاثير: 

Cisco Emergency Responder 8.x

توضيح:

تعدادي ضعف و دو آسيب پذيري در Cisco Emergency Responder گزارش شده است كه مي تواند توسط افراد خرابكار مورد سوء استفاده قرار بگيرد تا حملات اسكريپت بين سايتي، جعل كردن و درخواست بين سايتي را هدايت نمايند.

1) ورودي عبور داده شده از طريق تعدادي پارامتر نامشخص قبل از ارسال براي كاربر به خوبي بررسي نمي شود. اين مساله مي تواند هنگامي كه كاربر بر روي يك لينك دستكاري شده خاص كليك مي كند براي هدايت كاربر به سمت يك وب سايت دلخواه مورد سوء استفاده قرار بگيرد.

2) اين برنامه به كاربر اجازه مي دهد تا عمليات خاص را از طريق درخواست هاي HTTP بدون اجراي بررسي هاي معتبر انجام دهند. اين مساله مي تواند براي اعمال تغييرات خاص بر روي برنامه هنگامي كه كاربري يك صفحه وب دستكاري شده خاص را مشاده مي كند مورد سوء استفاده قرار بگيرد.

3) ورودي نامشخص خاص قبل از برگرداندن به كاربر به خوبي بررسي نمي شود. اين مساله مي تواند براي اجراي كد اسكريپت و HTML دلخواه در يك نشست مرورگر كاربر در زمينه يك سايت آلوده مورد سوء استفاده قرار بگيرد.

توجه: به علاوه يك ضعف وجود دارد كه مي تواند براي دستكاري محتوي پوياي خاص مورد سوء استفاده قرار بگيرد.

اين ضعف ها و آسيب پذيري ها در نسخه 8.6 و نسخه هاي پيش از آن گزارش شده است. نسخه هاي ديگر نيز ممكن است تحت تاثير اين آسيب پذيري ها قرار داشته باشند.

راهكار:

در حال حاضر راه حل رسمي در دسترس نيست.

منابع:

Cisco (CSCun37882, CSCun37909, CSCun24250, CSCun24384:)

secunia:
 
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 17 فروردین 1393

امتیاز

امتیاز شما
تعداد امتیازها:0