• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Cisco ASA (7.0, 7.0(5)7, 7.1, 7.1(2)10, 7.2, 7.2(1)3, 8.0, 8.0(0)19)
Описание
Межсайтовое выполнение сценариев в компоненте WebVPN в Cisco VPN 3000 Series Concentrators и Cisco ASA 5500 Series Adaptive Security Appliances (ASA) при функционировании WebVPN в бесклиентском режиме (clientless mode), позволяет злоумышленникам, действующим удаленно, внедрить произвольный веб-сценарий  или HTML-код, используя параметры домена dnserror.html и connecterror.html. Данная уязвимость также известна как CSCsd81095 (VPN3k) и CSCse48193 (ASA).
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20060613-webvpn-xss
Ссылки
BUGTRAQ (20060608 SSL VPNs and security): http://www.securityfocus.com/archive/1/436479/30/0/threaded
CISCO (20060613 Cisco Security Response: WebVPN Cross-Site Scripting Vulnerability): http://tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20060613-webvpn-xss
BID (18419): http://www.securityfocus.com/bid/18419
FRSIRT (ADV-2006-2331): http://www.frsirt.com/english/advisories/2006/2331
SECTRACK (1016252): http://securitytracker.com/id?1016252
XF (cisco-webvpn-xss(27086)): http://xforce.iss.net/xforce/xfdb/27086
OSVDB (26453): http://www.osvdb.org/26453
OSVDB (26454): http://www.osvdb.org/26454