XSS-LĂĽcke in Ciscos Online-Hilfe-System
Der Fehler steckt in der Suchfunktion, die den eingegebenen Inhalt nicht filtert. Ein Angreifer könnte über einen präparierten Link JavaScript im Kontext des Anwenders und der aufgerufenen Seite ausführen.
Cisco hat in einem Fehlerbericht auf eine Cross-Site-Scripting-Schwachstelle in seiner Online-Hilfe aufmerksam gemacht, die in zahlreichen Softwareprodukten von Cisco enthalten ist. Der Fehler steckt in der Suchfunktion PreSearch.html beziehungsweise PreSearch.class, die den eingegebenen Inhalt nicht filtert. Ein Angreifer könnte über einen präparierten Link JavaScript im Kontext des Anwenders und der aufgerufenen Seite ausführen. Welche Implikationen dies für die jeweilige Software bedeutet, schreibt der Hersteller nicht.
Betroffen sind zahlreiche Produkte, unter anderem der VPN-Client, IP Communicator, CallManager und der Secure Access Control Server. Eine vollständige Übersicht liefert der Fehlerbericht von Cisco. Ein Update gibt es nicht, Cisco schlägt vor, die PreSearch.html oder PreSearch.class zu löschen oder umzubenennen.
Siehe dazu auch:
- Cross-Site Scripting Vulnerability in Online Help System, Fehlerbericht von Cisco
(dab)
