Cisco Web Security Appliance Web框架命令注入漏洞

漏洞信息详情

Cisco Web Security Appliance Web框架命令注入漏洞

• CNNVD编号：CNNVD-201306-501
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2013-3383
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2013-06-26
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-07-05
  
• 厂        商：
  
  cisco
• 漏洞来源：
  Cisco

Cisco Web Security Appliance（WSA）是美国思科（Cisco）公司的一套Web安全设备。该设备提供基于SaaS的访问控制、实时网络报告和追踪、制定安全策略等功能。

Cisco Web Security Appliance设备7.1.3-013之前的版本，7.5.0-838之前的7.5版本，7.7.0-550之前的7.7版本中的IronPort AsyncOS中的Web框架中存在漏洞。该漏洞源于未能正确过滤用户提交的特殊的URL，在传递给设备上的命令行接口进行解析时，可导致在运行程序的上下文执行任意命令，也可以诱使合法用户点击特制的URL来利用此漏洞，成功利用漏洞可以完全控制受影响设备，允许通过验证的远程攻击者提升权限执行任意系统命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa

来源: CISCO

名称: 20130626 Multiple Vulnerabilities in Cisco Web Security Appliance

链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa

来源: BID

名称: 60804

链接:http://www.securityfocus.com/bid/60804