Vulnérabilité de Cisco Building Broadband Service Manager

Gestion du document

Référence	CERTA-2008-AVI-256
Titre	Vulnérabilité de Cisco Building Broadband Service Manager
Date de la première version	20 mai 2008
Date de la dernière version	20 mai 2008
Source(s)	Bulletin de sécurité CISCO via Bugtraq du 14 mai 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Cisco Building Broadband Service Manager 5.x.

Résumé

Une vulnérabilité a été découverte dans Cisco Broadband Service Manager. Elle peut être exploitée afin de réaliser des attaques par injection de code indirecte (Cross Site Scripting).

Description

Une vulnérabilité a été découverte dans la gestion du paramètre msg par la page AccessCodeStart.asp dans Cisco Broadband Service Manager. Cette vulnérabilité peut être exploitée afin de réaliser une attaque par injection de code indirecte (Cross Site Scripting).

Solution

Appliquer la mise à jour BBSMPatch5332.zip (cf. section Documentation).

Documentation

Bulletin de sécurité Cisco (Bugtraq):

http://archives.neohapsis.com/archives/bugtraq/2008-05/0183.html

http://archives.neohapsis.com/archives/bugtraq/2008-05/0166.html

Mise à jour Cisco :

http://tools.cisco.com/support/downloads/go/ImageList.x?relVer=5.3&mdfid=278455427&sftType=Building%20Broadband%20Service%20Manager%20(BBSM)%20Updates&optPlat=&nodecount=2&edesignator=null&modelName=Cisco%20Building%20Broadband%20Service%20Manager%205.3&treeMdfld=281527126&treeName=Network%20Monitoring%20and%20Management

Référence CVE CVE-2008-2165 :

https://www.cve.org/CVERecord?id=CVE-2008-2165

Avis du CERT-FR

Objet: Vulnérabilité de Cisco Building Broadband Service Manager