Множественные уязвимости в Cisco Wireless Control System

Дата публикации:
03.07.2006
Всего просмотров:
1550
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2006-3285
CVE-2006-3286
CVE-2006-3287
CVE-2006-3288
CVE-2006-3289
CVE-2006-3290
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Раскрытие системных данных
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Cisco Wireless Control System (WCS)
Уязвимые версии: Cisco Wireless Control System (WCS) 1.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, произвести XSS нападение, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за наличия недокументированной учетной записи в WCS. Удаленный пользователь может подключиться к внутренней базе данных и получить доступ к конфигурационным данным и управлению беспроводными точками доступа.

2. Недокументированные имя пользователя и пароль хранятся в открытом виде в нескольких WCS файлах. Локальный пользователь может получить доступ к базе данных.

3. Уязвимость существует из-за того, что локальный TFTP сервер разрешает доступ к произвольным директориям на системе.

4. Уязвимость существует из-за недостаточной обработки входных данных на странице аутентификации. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

5. Уязвимость существует из-за отсутствия ограничений на доступ к некоторым директориям. Удаленный пользователь может заполучить имена пользователей WCS и путь к установочной директории приложения.

URL производителя: cisco.com

Решение: Установите последнюю версию (3.2(63)) с сайта производителя.

Ссылки: Cisco Security Advisory: Multiple Vulnerabilities in Wireless Control System

или введите имя

CAPTCHA