DFN-CERT-2017-0991 Cisco Industrial Network Director: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Windows]

DFN-CERT-2017-0991 Cisco Industrial Network Director: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Industrial Network Director 1.1(0.176)

Betroffene Plattformen:

Microsoft Windows

Ein entfernter, nicht authentisierter Angreifer kann durch das Ausnutzen der
Schwachstelle einen Cross-Site-Scripting (XSS)-Angriff durchführen und
dadurch sensitive Informationen aus dem Browser eines Benutzers ausspähen
oder die visuellen und operativen Bedingungen der dargestellten Seite
beeinflussen.

Cisco bestätigt die Schwachstelle im Cisco Industrial Network Director und
verweist bezüglich betroffener Versionen und
fehlerbereinigter Software Releases auf die Cisco Bug ID CSCvd25405. Darin
wird der Cisco Industrial Network Director 1.1(0.176) unter ‘Known Affected
Releases’ aufgeführt, jedoch keine Versionen unter ‘Known Fixed Releases’
gelistet. Der Hersteller gibt aber den Status des Bugs mit ‘Fixed’ an.

CVE-2017-6675: Schwachstelle in Cisco Industrial Network Director ermöglicht
Cross-Site-Scripting-Angriff

In Cisco Industrial Network Director existiert eine Schwachstelle aufgrund
unzureichender Validierung von Benutzereingaben über URL’s betroffener
Seiten. Gelingt es einem Angreifer einen Benutzer des Systems auf eine vom
ihm kontrollierte Webseite zu navigieren, beispielsweise über einen
präparierten Link, ist der Angreifer in der Lage beliebigen Skript- oder
HTML-Programmcode im Kontext der betroffenen Seite auszuführen. Dies
ermöglicht es dem Angreifer dann sensitive Informationen aus dem Browser des
Benutzers auszuspähen oder die visuellen und operativen Bedingungen der
dargestellten URL zu beeinflussen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0991/

Cisco Security Advisory cisco-sa-20170607-ind:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-ind

Schwachstelle CVE-2017-6675 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6675

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben