Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Spark

Betroffene Plattformen:

Cisco Hardware

Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in
der Weboberfläche von Cisco Spark ausnutzen, um Skript-Programmcode in die
Oberfläche zu injizieren und dadurch einen Cross-Site-Scripting
(XSS)-Angriff auf andere Benutzer der Software durchzuführen. Der Angreifer
kann dadurch Programmcode im Browser-Kontext anderer Benutzer zur Ausführung
bringen oder möglicherweise sensitive Informationen über diese ausspähen.

Cisco bestätigt die Schwachstelle in der webbasierten Cisco Spark Messaging
Software sowohl für den Zugriff auf Cisco Spark Messages über die API der
Software als auch über den normalen Weblogin. Laut Informationen in den dem
Sicherheitshinweis angehängten Cisco Bug IDs ist die Schwachstelle für den
API-Zugriff bereits behoben. Benutzer, die sich über den Weblogin anmelden,
sind weiterhin betroffen.

CVE-2017-12269: Schwachstelle in Cisco Spark ermöglicht
Cross-Site-Scripting-Angriff

Aufgrund der unzureichenden Validierung von Eingabedaten besteht in der
Weboberfläche des Kollaborationstools Cisco Spark die Möglichkeit für einen
Cross-Site-Scripting (XSS)-Angriff.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1749/

Cisco Security Advisory cisco-sa-20171004-sprk (CVE-2017-12269):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171004-sprk

Schwachstelle CVE-2017-12269 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12269

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.