思科服务器管理工具中存在 XSS 0day
编译:代码卫士
该服务器管理工具可使管理员在服务器上执行缓解或升级任务。该漏洞位于思科 PCD 14 的web 管理接口中,是由北约网络安全中心的成员 Pierre Vivegnis 发现的。成功利用该漏洞可导致未认证攻击者远程发动XSS攻击但需要用户交互。
思科解释称,“该漏洞存在的原因是基于 web 的管理接口未能正确验证用户提供的输入。攻击者可说服接口用户点击构造链接,从而利用该漏洞。成功利用可导致攻击者在受影响的接口上下文中执行任意脚本代码或访问敏感的基于浏览器的信息。”
虽然思科共享了关于该漏洞的影响,但下个月某些时候才会发布安全更新。目前尚不存在删除该攻击向量的应变措施。幸运的是,思科 PSIRT 尚未找到该漏洞遭在野利用的证据且并未发现公开的利用代码。
仍未修复的另外一个 0day
思科还修复了已存在公开利用代码的另外一个高危IP Phone 0day (CVE-2022-20968),该漏洞在2023年12月早些时候披露。
思科 PSIRT 团队当时提醒称“已发现 PoC 利用代码”,以及“该漏洞已被公开讨论。”
虽然思科当时指出将在2023年1月发布补丁,但目前仍未修复。受该漏洞影响的设备包括运行7800和8800系列固件版本14.2及更早版本的思科 IP 电话。
尽管思科目前并未发布相关环节措施,但建议管理员应用临时缓解措施,即禁用受影响设备上的思科发现协议。思科当时提醒称,“这并非小变动,要求企业评估对设备的潜在影响以及部署该变更的最佳方式。”
https://www.bleepingcomputer.com/news/security/cisco-discloses-xss-zero-day-flaw-in-server-management-tool/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。