Cisco раскрывает XSS-уязвимость нулевого дня в инструменте управления серверами
Cisco раскрывает XSS-уязвимость нулевого дня в инструменте управления серверами. Фото: СС0
Эта утилита управления сервером позволяет администраторам выполнять задачи миграции или обновления на серверах, находящихся в инвентаре их организации.
Ошибка CVE-2023-20060 была обнаружена в веб-интерфейсе управления Cisco PCD 14 и более ранних версий Пьером Вивеньсом из Центра кибербезопасности НАТО (NCSC).
Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, запускать атаки с использованием межсайтовых сценариев удаленно, но требует взаимодействия с пользователем.
Из сообщения компании:
«Эта уязвимость существует из-за того, что веб-интерфейс управления неправильно проверяет введенные пользователем данные. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя интерфейса щелкнуть созданную ссылку. Успешный эксплойт может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации в браузере».
Компания выпустит обновления безопасности для устранения этой уязвимости в следующем месяце. На данный момент нет доступных обходных путей для удаления вектора атаки. Доказательств злонамеренного использования её на практике пока нет. Ничего не известно и о существовании эксплойта.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было