Security Lab

Раскрытие внутреннего IP адреса в Cisco ACE XML Gateway и Web Application Firewall

Дата публикации:29.09.2009
Всего просмотров:2872
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Cisco Application Control Engine (ACE) XML Gateway
Cisco ACE Web Application Firewall
Уязвимые версии:
Cisco ACE XML Gateway 6.0 и более ранние версии
Cisco ACE Web Application Firewall 6.0 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

Уязвимость существует из-за того, что сообщения об ошибке, сгенерированные в качестве ответа на неподдерживаемые HTTP запросы, содержат в заголовке внутренний IP адрес. Удаленный пользователь может с помощью OPTIONS HTTP запроса узнать внутренний IP адрес, например, балансировщика нагрузки.

URL производителя: www.cisco.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://www.cisco.com/warp/public/707/cisco-sr-20090925-axg.shtml
http://www.brainoverflow.org/advisories/cisco_ace_xml_gw_ip_disclosure.txt