Vigil@nce : Cisco ASA, Secure Desktop, Cross Site Scripting
février 2010 par Vigil@nce
Un attaquant peut provoquer un Cross Site Scripting dans Cisco
Secure Desktop.
– Gravité : 2/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 02/02/2010
PRODUITS CONCERNÉS
– Cisco PIX/ASA Software
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Secure Desktop permet de vérifier le niveau de
sécurité des ordinateurs se connectant par le VPN.
La page https://machine/+CSCOT+/translation de CSD est utilisée
pour générer une variable contenant un texte traduit.
Cependant, les paramètres postés ne sont pas filtrés avant d’être
affichés.
Un attaquant peut donc provoquer un Cross Site Scripting dans
Cisco Secure Desktop.
CARACTÉRISTIQUES
– Références : 19843, BID-37960, CORE-2010-0106, CVE-2010-0440,
VIGILANCE-VUL-9398
– Url : http://vigilance.fr/vulnerabilite/Cisco-ASA-Secure-Desktop-Cross-Site-Scripting-9398