自己報告されたバージョンによると、Cisco IOS XEソフトウェアは、影響を受けるソフトウェアにウェブベースのユーザーインターフェース (web UI) を介して渡される特定のパラメーターの入力検証が不十分なため、web UIで複数のクロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。認証されていないリモートの攻撃者がこれを悪用し、影響を受けるUIのユーザーを誘導して悪意のあるリンクにアクセスさせたり、影響を受けるUIへのユーザーのリクエストを傍受してリクエストに悪意のあるコードを挿入したりする可能性があります。これにより、攻撃者が影響を受けるUIのコンテキストで任意のスクリプトコードを実行したり、ユーザーのシステム上でブラウザベースの秘密情報にアクセスしたりする可能性があります。

詳細については、付属の Cisco BID および Cisco Security Advisory を参照してください。

Nessus はこの問題をテストしていませんが、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Cisco IOS XEソフトウェアのWeb UIにおけるクロスサイトスクリプティングの複数の脆弱性（cisco-sa-20180328-webuixss）

medium Nessus プラグイン ID 132033

バージョン 1.6