Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Application Policy Infrastructure Controller 1.1 Enterprise Module

Betroffene Plattformen:

Cisco Application Policy Infrastructure Controller

Eine Schwachstelle im Cisco Application Policy Infrastructure Controller
Enterprise Module (APIC-EM) ermöglicht einem entfernten, nicht
authentifizierten Angreifer einen Cross-Site-Scripting-Angriff.

Cisco bestätigt die Schwachstelle für das Cisco APIC-EM Release 1.1 und
stellt Sicherheitsupdates zur Verfügung.

Patch:

Cisco Security Advisory cisco-sa-20160201-apic-em

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160201-apic-em

CVE-2016-1305: Cross-Site-Scripting-Schwachstelle im Cisco Application
Policy Infrastructure Controller Enterprise Module

Es existiert eine Cross-Site-Scripting-Schwachstelle im Cisco Application
Policy Infrastructure Controller Enterprise Module (APIC-EM) aufgrund der
ungenügenden Bereinigung von HTML-Entitäten, welche an einen Benutzer
zurückgegeben werden. Ein Angreifer kann diese Schwachstelle ausnutzen und
in einem Cross-Site-Scripting-Angriff einen Benutzer dazu verleiten einen
bösartigen Link anzuklicken. Dies ermöglicht dem Angreifer beliebigen
Programmcode im Kontext der betroffenen Seite auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0185/

Cisco Security Advisory cisco-sa-20160201-apic-em:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160201-apic-em

Schwachstelle CVE-2016-1305 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1305

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.