思科Cyber Vision中心存储型跨站脚本漏洞
漏洞概述
思科Cyber Vision中心的Web管理界面存在多个漏洞,经过身份验证的远程攻击者可利用这些漏洞对界面用户发起跨站脚本(XSS)攻击。
漏洞详情
漏洞成因
这些漏洞存在的原因为受影响系统的Web管理界面未充分验证用户提交的输入。攻击者可通过向界面特定页面注入恶意代码来利用这些漏洞。成功利用可能允许攻击者在受影响界面的上下文中执行任意脚本代码或访问基于浏览器的敏感信息。
漏洞利用条件
- CVE-2025-20356:攻击者必须拥有允许访问Sensor Explorer页面的有效管理员凭据。默认情况下,Admin和Product用户角色具有此访问权限,任何配置为允许访问Sensors页面的自定义用户也具有此权限。
- CVE-2025-20357:攻击者必须拥有允许访问Reports页面的有效管理员凭据。默认情况下,所有预定义用户角色都具有此访问权限,任何配置为允许访问Reports页面的自定义用户也具有此权限。
受影响产品
易受攻击产品
在发布时,这些漏洞影响思科Cyber Vision中心,无论设备配置如何。
确认不受影响产品
思科已确认这些漏洞不影响思科Cyber Vision Global Center或思科Cyber Vision Sensors。
解决方案
修复软件
思科已发布修复这些漏洞的软件更新。目前没有可用的临时解决方案。
固定版本信息
CVE-2025-20356
| 思科Cyber Vision中心 | 首个修复版本 |
|---|---|
| 5.2及更早版本 | 迁移到修复版本 |
| 5.3 | 不易受攻击 |
CVE-2025-20357
| 思科Cyber Vision中心 | 首个修复版本 |
|---|---|
| 5.0及更早版本 | 不易受攻击 |
| 5.1 | 迁移到修复版本 |
| 5.2 | 迁移到修复版本 |
| 5.3 | 不易受攻击 |
漏洞状态
思科PSIRT未发现任何关于这些漏洞的公开声明或恶意利用。
致谢
思科感谢Schiphol的Joost Spanjerberg和Sjoerd de Haas通过Vest Informatiebeveiliging报告这些漏洞。
技术信息
- 咨询ID:cisco-sa-cv-xss-rwRAKAJ9
- 首次发布:2025年10月1日 16:00 GMT
- 版本:1.0(最终版)
- CVE编号:CVE-2025-20356、CVE-2025-20357
- CWE分类:CWE-79(跨站脚本)
- CVSS评分:5.4(基础分)
- Cisco Bug ID:CSCwq56790、CSCwq56791
建议用户及时升级到修复版本,确保系统安全。