Cisco Secure ACS跨站脚本执行漏洞

漏洞信息详情

Cisco Secure ACS跨站脚本执行漏洞

• CNNVD编号：CNNVD-200210-112
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0938
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-06-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  cisco
• 漏洞来源：
  Fort _※ fort@linux…

Cisco Secure ACS是一款由CISCO分发和维护的访问控制和计帐系统。
Cisco Secure ACS WEB服务程序对通过用户提交给\”action\”的参数缺少正确的过滤，远程攻击者可以利用此漏洞进行跨站脚本执行攻击。
Cisco Secure ACS包含WEB组件，其中setup.exe程序对用户提交给\”action\”参数的数据缺少正确输入验证，攻击者可以提交包含恶意脚本代码的数据给\”action\”参数，当用户浏览这样的链接时，包含在链接中的恶意代码就会在用户浏览器上执行，导致用户基于Cookie认证的信息泄露。
此漏洞很明显需要认证用户才能利用，漏洞存在于Microsoft Windows NT操作系统下的Cisco Secure ACS版本。

厂商补丁：
Cisco
—–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cisco.com/” target=”_blank”>
http://www.cisco.com/

来源: BID
名称: 5026
链接:http://www.securityfocus.com/bid/5026

来源: XF
名称: ciscosecure-web-css(9353)
链接:http://www.iss.net/security_center/static/9353.php

来源: BUGTRAQ
名称: 20020621 Re: XSS in CiscoSecure ACS v3.0
链接:http://online.securityfocus.com/archive/1/278222

来源: BUGTRAQ
名称: 20020614 XSS in CiscoSecure ACS v3.0
链接:http://archives.neohapsis.com/archives/bugtraq/2002-06/0156.html