Af Eskil Sørensen, 07/06/24
Cisco har udsendt en advisory, der beskriver flere sårbarheder i Cisco Finesses webbaserede administrationsgrænseflade.
Det skriver Cyber Security News.
Sårbarhederne har id’erne CVE-2024-20404 og CVE-2024-20405 og de kan gøre det muligt for uautoriserede fjernangribere at udføre et såkaldt stored cross-site scripting (XSS) angreb. Mens et almindeligt XXS-angreb indsætter skadelig kode i en sårbar webapplikation, så opstår et ”stored cross-site scripting”-angreb, som også kendes som et second-order eller persistent XXS-angreb, når en applikation modtager data fra en ikke-pålidelig kilde og inkluderer disse data i sine senere HTTP-svar på en usikker måde.
Det anbefales, at berørte systemer patches med Ciscos egen opdatering.
Links:
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-finesse-ssrf-rfi-Um7wT8Ew.html#fs
https://cybersecuritynews.com/cisco-finesse-vulnerabilities/