Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco FireSIGHT System 6.0.0

Betroffene Plattformen:

Cisco FireSIGHT System

Ein Angreifer könnte diese Schwachstellen ausnutzen, um beliebige Webskripte
und HTML-Befehle in der Browser-Sitzung des Benutzers im Kontext der
betroffenen Webseite auszuführen. Im Falle eines erfolgreichen Angriffs wäre
es dem Angreifer beispielsweise möglich, Cookies mit sensiblen
Anmeldeinformationen sowie kürzlich übermittelte Daten des Benutzers
einzusehen.

Patch:

Cisco Security Alert Cisco-Alert-CVE-2015-0766

http://tools.cisco.com/security/center/viewAlert.x?alertId=39171

CVE-2015-0766: Schwachstelle in der Weboberfläche von FireSIGHT erlaubt
Cross-Site-Scripting

Mehrere Schwachstellen im Bereich der administrativen Benutzeroberfläche von
Cisco FireSIGHT System erlauben sowohl Cross-Site-Scripting-Angriffe als
auch beliebige HTML-Befehle einzuschleusen. Diese Schwachstelle besteht
aufgrund einer unsachgemäßen Überprüfung von Benutzereingaben. Ein Angreifer
könnte diese Lücke ausnutzen, um eigene Inhalte in den betroffenen Bereich
der Webseite einzufügen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0791/

Cisco Security Alert Cisco-Alert-CVE-2015-0766:
http://tools.cisco.com/security/center/viewAlert.x?alertId=39171

Schwachstelle CVE-2015-0766 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0766

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.