漏洞关键信息 基本信息 漏洞ID: cisco-sa-dcnm-xss-3jkDLsLV CVE编号: CVE-2020-3460 CWE编号: CWE-79 严重等级: Medium (CVSS Base Score: 4.7) 发布日期: 2020 年 7 月 29 日 16:00 GMT 漏洞概述 漏洞描述: Cisco Data Center Network Manager (DCNM) 的 Web 基管理界面存在一个跨站脚本(XSS)漏洞。此漏洞允许非经过身份验证的远程攻击者通过在 HTTP 头中注入恶意数据来拦截来自用户的请求,从而对界面用户进行攻击。 漏洞原因: 管理界面没有正确验证用户提供的输入。 风险: 成功利用该漏洞可让攻击者执行任意脚本代码或访问敏感的基于浏览器的信息。 影响的产品 受影响版本: Cisco DCNM 软件版本 11.4(1) 之前的版本。 确认不受到影响的产品: 只有在“受影响的产品”部分列出的产品已知受此漏洞影响。 工作区 解决方法: 没有可用的工作区来解决这个漏洞。 公布的修复版本 修复措施: 在发布时,Cisco DCNM 软件版本 11.4(1) 及之后的版本包含修复此漏洞的修复程序。 公告情况 公开利用和公告: Cisco 产品安全事件响应团队(PSIRT)尚不了解有关该漏洞的任何公开公告或恶意使用情况。 漏洞来源 报告者: Cisco 非常感谢 Suchakra Sharma、Nikolas Schmidt 和 Niklas Jacob of ShiftLeft 报告此漏洞。 其它信息 详情链接: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dcnm-xss-3jkDLsLV