JVNDB-2013-003631
|
複数の Cisco 製品の Web フレームワークにおける任意のコマンドを実行される脆弱性
|
|
複数の Cisco 製品の Web フレームワークの中央管理モード (central-management mode) には、任意のコマンドを実行される脆弱性が存在します。
ベンダは、本脆弱性を Bug ID CSCug40609、CSCug48855、CSCug48921、CSCug48872、CSCuh21103、CSCuh21020、および CSCug56790 として公開しています。
|
|
CVSS v2 による深刻度
基本値: 9.0 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
シスコシステムズ
- Cisco Application and Content Networking System (ACNS) 4.x
- Cisco Application and Content Networking System (ACNS) 5.5.29.2 未満の 5.x
- Cisco CDS-IS Software 2.6.3.b50 未満の 2.x
- Cisco CDS-IS Software 3.1.2b54 未満の 3.1.x
- Cisco ECDS Software 2.5.6 未満の 2.x
- Cisco VDS-OE Software 1.0.1 未満の 1.x
- Cisco VDS-OS Software 1.x
- Cisco VDS-SB Software 1.1.0-b96 未満の 1.x
- Cisco Videoscape Distribution Suite for Internet Streaming 3.2.1.b9 未満の 3.2.x
- Cisco Wide Area Application Services ソフトウェア 4.x 未満
- Cisco Wide Area Application Services ソフトウェア 5.0.3e 未満の 5.x
- Cisco Wide Area Application Services ソフトウェア 5.1.1c 未満の 5.1.x
- Cisco Wide Area Application Services ソフトウェア 5.2.1 未満の 5.2.x
|
|
|
リモート認証されたユーザにより、GUI フィールドの値に巧妙に細工された文字列を追加されることで、任意のコマンドを実行される可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
シスコシステムズ
|
|
- OSコマンドインジェクション(CWE-78) [NVD評価]
|
|
- CVE-2013-3444
|
|
- National Vulnerability Database (NVD) : CVE-2013-3444
|
|
|
