سیسکو آسیبپذیری روز صفر را در نرمافزار Prime Collaboration Deployment (PCD) این شرکت گزارش داده است که میتواند برای حملات اسکریپت بین سایتی، مورد سوء استفاده قرار گیرد. این ابزار مدیریت سرور، مدیران را قادر میسازد تا ارتقاء را بر روی سرورهای موجود در سازمان خود انجام دهند.
مهاجمان احراز هویت نشده با بهرهبرداری موفقیتآمیز میتوانند حملات اسکریپت بین سایتی را از راه دور انجام دهند، اما نیاز به تعامل کاربر دارد. همچنین شرکت سیسکو توضیح داده است که این آسیب پذیری به دلیل است که رابط مدیریت مبتنی بر وب، ورودی های ارائه شده توسط کاربر را به درستی تایید نمی کند. مهاجم می تواند با متقاعد کردن کاربر، با کلیک بر روی یک پیوند ساخته شده از این آسیب پذیری سوء استفاده کند.
در نهایت یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا کد اسکریپت دلخواه را در زمینه رابط آسیب دیده اجرا کند یا به اطلاعات حساس و مبتنی بر مرورگر دسترسی پیدا کند. سیسکو بهروزرسانیهای امنیتی را برای ماه آینده منتشر خواهد کرد و در حال حاضر هیچ راه حلی برای جلوگیری از حمله در دسترس نیست.
مراجع
- 88