製品・ソフトウェアに関する情報

JVN脆弱性詳細

Cisco Wireless LAN Controller デバイスにおけるクロスサイトスクリプティングの脆弱性

Title	Cisco Wireless LAN Controller デバイスにおけるクロスサイトスクリプティングの脆弱性
Summary	Cisco Wireless LAN Controller (WLC) デバイスの screens/base/web_auth_custom.html には、クロスサイトスクリプティングの脆弱性が存在します。本問題は、Bug ID CSCud65187 の問題です。本脆弱性は、CVE-2012-5992 とは異なる脆弱性です。
Possible impacts	リモート認証されたユーザにより、headline パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 13, 2012, midnight
Registration Date	Dec. 20, 2012, 2:57 p.m.
Last Update	Dec. 20, 2012, 2:57 p.m.

Affected System

シスコシステムズ

Cisco 2000 シリーズ Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 2100 シリーズ Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 2106 Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 2112 Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 2125 Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 2500 シリーズ Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 2504 Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 4100 シリーズ Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 4400 シリーズ Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 4402 Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco 4404 Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco Airespace 4000 シリーズ Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

Cisco Wireless LAN Controller ソフトウェア 7.2 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-6007	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6007
National Vulnerability Database (NVD)
2	CVE-2012-6007	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6007

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Cisco Systems Inc
1	27641	http://tools.cisco.com/security/center/viewAlert.x?alertId=27641

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-6007

Summary	Cross-site scripting (XSS) vulnerability in screens/base/web_auth_custom.html on Cisco Wireless LAN Controller (WLC) devices with software 7.2.110.0 allows remote authenticated users to inject arbitrary web script or HTML via the headline parameter, aka Bug ID CSCud65187, a different vulnerability than CVE-2012-5992.
Publication Date	Dec. 19, 2012, 8:56 p.m.
Registration Date	Jan. 28, 2021, 3:06 p.m.
Last Update	Nov. 21, 2024, 10:45 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:cisco:wireless_lan_controller_software:7.2.110.0:::::::*
cpe:2.3:h:cisco:2000_wireless_lan_controller::::::::
cpe:2.3:h:cisco:2100_wireless_lan_controller::::::::
cpe:2.3:h:cisco:2500_wireless_lan_controller:-:::::::*
cpe:2.3:h:cisco:4100_wireless_lan_controller::::::::
cpe:2.3:h:cisco:4400_wireless_lan_controller::::::::
cpe:2.3:h:cisco:5500_wireless_lan_controller:-:::::::*
cpe:2.3:h:cisco:7500_wireless_lan_controller:-:::::::*
cpe:2.3:h:cisco:8500_wireless_lan_controller:-:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://infosec42.blogspot.dk/2012/12/cisco-wlc-csrf-dos-and-persistent-xss.html		Exploit
2	http://infosec42.blogspot.dk/2012/12/cisco-wlc-csrf-dos-and-persistent-xss.html		Exploit

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:cisco:wireless_lan_controller_software:7.2.110.0:::::::*
cpe:2.3:h:cisco:2000_wireless_lan_controller::::::::
cpe:2.3:h:cisco:2100_wireless_lan_controller::::::::
cpe:2.3:h:cisco:2500_wireless_lan_controller:-:::::::*
cpe:2.3:h:cisco:4100_wireless_lan_controller::::::::
cpe:2.3:h:cisco:4400_wireless_lan_controller::::::::
cpe:2.3:h:cisco:5500_wireless_lan_controller:-:::::::*
cpe:2.3:h:cisco:7500_wireless_lan_controller:-:::::::*
cpe:2.3:h:cisco:8500_wireless_lan_controller:-:::::::*