检测

插件

最近更新时间

插件系列介绍

指标

风险暴露指标

Cisco Secure Access Control Server (ACS) CSUserCGI.exe 帮助工具 XSS

medium Nessus 插件 ID 33945

语言：

简介

远程 Web 服务器托管的 CGI 脚本受到多个跨站脚本漏洞的影响。

描述

在适用于 Windows 和 ACS Solution Engine 的 Cisco Secure Access Control Server (ACS) 中，User-Changeable Password (UCP) 4.2 之前版本随附的“securecgi-bin/CSuserCGI.exe” CGI 中存在多个跨站脚本 (XSS) 漏洞。

远程攻击者可能会利用这些漏洞，通过紧接“Help”参数之后的参数以及其他不明向量，将任意 JavaScript 或 HTML 注入用户的浏览器。

解决方案

升级至 UCP 4.2 或更高版本。

另见

http://www.nessus.org/u?578e73a1

https://www.securityfocus.com/archive/1/489463/30/0/threaded

http://www.cisco.com/warp/public/707/cisco-sa-20080312-ucp.shtml

插件详情

严重性: Medium

ID: 33945

文件名: cisco_acs_ucp_xss.nbin

版本: 1.90

类型: remote

系列: CGI abuses : XSS

发布时间: 2008/8/19

最近更新时间: 2024/3/19

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.6

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.6

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2008-0533

漏洞信息

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: Exploits are available

补丁发布日期: 2008/3/12

漏洞发布日期: 2008/3/12

可利用的方式

CANVAS (D2ExploitPack)

参考资料信息

CVE: CVE-2008-0533

BID: 28222

CWE: 79

IAVB: 2008-B-0025-S