๐ Cisco Prime Infrastructure iframe Cross Site Scripting [CVE-2015-6434]
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80107
Betroffen: Cisco Prime Infrastructure
Veröffentlicht: 08.01.2016
Risiko: problematisch
Erstellt: 08.01.2016
Eintrag: 66.8% komplett
Beschreibung
In Cisco Prime Infrastructure – die betroffene Version ist nicht bekannt – wurde eine problematische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion. Mittels dem Manipulieren des Arguments iframe
mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:
Cisco Prime Infrastructure does not properly restrict use of IFRAME elements, which makes it easier for remote attackers to conduct clickjacking attacks and unspecified other attacks via a crafted web site, related to a “cross-frame scripting (XFS)” issue, aka Bug ID CSCux64856.
Die Schwachstelle wurde am 08.01.2016 als CSCux64856 in Form eines bestätigten Advisories (Website) öffentlich gemacht. Die Verwundbarkeit wird als CVE-2015-6434 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 4.0 (CVSS2#E:ND/RL:ND/RC:C) [?]
CPE
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
08.01.2016 | Advisory veröffentlicht
08.01.2016 | VulDB Eintrag erstellt
08.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: CSCux64856
Status: Bestätigt
CVE: CVE-2015-6434 (mitre.org) (nvd.nist.org) (cvedetails.com)
...