Cisco Secure Access Control Server (ACS) CSUserCGI.exe 說明工具 XSS
medium Nessus Plugin ID 33945
語系:
概要
The remote web server hosts a CGI script that is affected by multiple cross-site scripting vulnerabilities.說明
在適用於 Windows 的 Cisco Secure Access Control Server (ACS) 和 ACS Solution Engine 中, 4.2 之前的使用者變更密碼 (UCP) 隨附的「securecgi-bin / CSuserCGI.exe」CGI 中存在多個跨網站指令碼 (XSS) 弱點。遠端攻擊者可能會利用這些弱點,透過位於 Help 引數之後的引數,以及可能未指明的其他向量,將任意 JavaScript 或 HTML 插入使用者的瀏覽器。
解決方案
Upgrade to UCP Version 4.2 or later.另請參閱
http://www.nessus.org/u?578e73a1
https://www.securityfocus.com/archive/1/489463/30/0/threaded
http://www.cisco.com/warp/public/707/cisco-sa-20080312-ucp.shtml
Plugin 詳細資訊
嚴重性: Medium
ID: 33945
檔案名稱: cisco_acs_ucp_xss.nbin
版本: 1.90
類型: remote
系列: CGI abuses : XSS
已發布: 2008/8/19
已更新: 2024/3/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.6
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.6
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2008-0533
弱點資訊
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2008/3/12
弱點發布日期: 2008/3/12
可惡意利用
CANVAS (D2ExploitPack)
參考資訊
CVE: CVE-2008-0533
BID: 28222
CWE: 79
IAVB: 2008-B-0025-S