发布日期:2014-01-10
更新日期:2014-01-14
受影响系统:
Cisco Context Directory Agent 1.x
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-0651,CVE-2014-0652,CVE-2014-0654
Cisco Context Directory Agent (CDA)是运行在Cisco Linux机器上的应用,可实时监控DC域控制器的用户登录身份验证情况,并可获取、分析、缓存IP地址映射及用户ID,为客户端设备提供最新的映射。
Cisco Context Directory Agent 1.0版本在实现上存在多个漏洞,成功利用后可使恶意用户绕过某些安全限制并执行跨站脚本攻击。
1、某些映射页相关的输入没有正确过滤即被返回给用户,这可导致在受影响站点用户浏览器中执行任意HTML和脚本代码。
2、处理重放RADIUS账户消息时的错误,可被利用修改CDA缓存内容;
3、应用没有正确执行某些授权限制,可导致执行未授权操作。
<*来源:vendor
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Cisco
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: