Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Cisco IOS
(IOS)
Описание
Межсайтовое выполнение сценариев в Cisco IOS Web Server для IOS позволяет злоумышленникам, действующим удаленно, внедрить веб-сценарий или HTML-код, используя пакеты, содержащие HTML, во время, когда администратор просматривает через веб-интерфейс состояние буферов памяти, например, URI /level/15/exec/-/buffers/assigned/dump, или через передачу пакетов Cisco Discovery Protocol (CDP) с HTML, когда администратор просматривает страницы статуса CDP. Замечание: эти векторы могут быть связаны с настройками в /level/15/exec/-/show/buffers.
Как исправить
Используйте рекомендации производителя:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20051201-http
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20051201-http
Ссылки
http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/cisco/index.html
BID (15602): http://www.securityfocus.com/bid/15602
FRSIRT (ADV-2005-2657): http://www.frsirt.com/english/advisories/2005/2657
SECTRACK (1015275): http://securitytracker.com/id?1015275
CISCO (20051201 IOS HTTP Server Command Injection Vulnerability): http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20051201-http
BUGTRAQ (20051128 - Cisco IOS HTTP Server code injection/execution vulnerability-): http://www.securityfocus.com/archive/1/archive/1/417916/100/0/threaded
IDEFENSE (20060117 Cisco Systems IOS 11 Web Service CDP Status Page Code Injection Vulnerability): http://www.idefense.com/intelligence/vulnerabilities/display.php?id=372
BID (16291): http://www.securityfocus.com/bid/16291
BID (15602): http://www.securityfocus.com/bid/15602
FRSIRT (ADV-2005-2657): http://www.frsirt.com/english/advisories/2005/2657
SECTRACK (1015275): http://securitytracker.com/id?1015275
CISCO (20051201 IOS HTTP Server Command Injection Vulnerability): http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20051201-http
BUGTRAQ (20051128 - Cisco IOS HTTP Server code injection/execution vulnerability-): http://www.securityfocus.com/archive/1/archive/1/417916/100/0/threaded
IDEFENSE (20060117 Cisco Systems IOS 11 Web Service CDP Status Page Code Injection Vulnerability): http://www.idefense.com/intelligence/vulnerabilities/display.php?id=372
BID (16291): http://www.securityfocus.com/bid/16291