Vigil@nce : Cisco Prime LMS, HTTP Response Splitting
mai 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut altérer la réponse HTTP du service Cisco Prime
LAN Management Solution, afin par exemple d’y injecter du code
JavaScript.
– Gravité : 2/4
– Date création : 10/05/2012
PRODUITS CONCERNÉS
– Cisco CiscoWorks
– Cisco Prime
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Prime LAN Management Solution (CiscoWorks Common
Services) offre un service web utilisant la page "Autologin.jsp".
Cependant, cette page ne filtre pas correctement son paramètre
"Url". Un attaquant peut alors ajouter des sauts de ligne dans la
réponse HTTP du service web.
Un attaquant peut donc altérer la réponse HTTP du service Cisco
Prime LAN Management Solution, afin par exemple d’y injecter du
code JavaScript.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-Prime-LMS-HTTP-Response-Splitting-11616