漏洞标题
N/A
漏洞描述信息
Cisco 注册 envelope 服务(一种云服务)的 web 界面存在多个漏洞,可能导致无授权的远程攻击者进行跨站点脚本攻击(XSS)或将受影响的服务的用户引导到 unintended 的网页。这些漏洞是由于受影响的服务的 web 管理界面对用户提供输入的验证不足。攻击者可以通过说服用户点击恶意链接或发送一个 HTTP 请求,使受影响的服务将请求引导到指定的恶意 URL 上来利用这些漏洞。一个成功的漏洞利用可能导致攻击者在受影响系统的 web 界面上下文中执行任意脚本代码,或允许攻击者访问受影响系统上的敏感浏览器信息。这些类型的漏洞也可以在未经用户知情的情况下用于钓鱼攻击。Cisco 漏洞 ID:CSCve77195, CSCve90978, CSCvf42310, CSCvf42703, CSCvf42723, CSCvf46169, CSCvf49999。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple vulnerabilities in the web interface of the Cisco Registered Envelope Service (a cloud-based service) could allow an unauthenticated, remote attacker to conduct a cross-site scripting (XSS) attack or redirect a user of the affected service to an undesired web page. The vulnerabilities are due to insufficient validation of user-supplied input by the web-based management interface of the affected service. An attacker could exploit these vulnerabilities by persuading a user to click a malicious link or by sending an HTTP request that could cause the affected service to redirect the request to a specified malicious URL. A successful exploit could allow the attacker to execute arbitrary script code in the context of the web interface of the affected system or allow the attacker to access sensitive browser-based information on the affected system. These types of exploits could also be used in phishing attacks that send users to malicious websites without their knowledge. Cisco Bug IDs: CSCve77195, CSCve90978, CSCvf42310, CSCvf42703, CSCvf42723, CSCvf46169, CSCvf49999.
CVSS信息
N/A
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Cisco Registered Envelope Service 跨站脚本漏洞
漏洞描述信息
Cisco Registered Envelope Service是美国思科(Cisco)公司的一套邮件服务解决方案。该产品包括邮件的读取回执、邮件回收、邮件转发和回复功能,并提供智能手机支持。 Cisco Registered Envelope Service中的Web界面存在跨站脚本漏洞,该漏洞源于程序没有充分的验证用户提交的输入。远程攻击者可通过诱使用户点击恶意链接或发送HTTP请求利用该漏洞在受影响系统Web界面上下文中执行任意的脚本代码或访问基于浏览器的敏感信息。
CVSS信息
N/A
漏洞类别
跨站脚本