Une vulnérabilité a récemment été découverte dans Cisco Secure ACS pour UNIX. Elle doit être prise au sérieux car elle pourrait bien être utilisée afin d’entreprendre des attaques par cross-site-scripting. De plus, toutes les données passées en paramètres dans LogonProxy.cgi ne sont pas correctement filtrées avant d’être retournées à l’utilisateur.
Cette faille est exploitable pendant l’exécution de codes HTML, ou encore de scripts arbitraires.
Fort heureusement il existe une solution pour remédier à cette vulnérabilité : appliquer le correctif qui se trouve à l’adresse http://www.cisco.com/pcgi-bin/tablebuild.pl/cspatchunix-3des.
En revanche, Cisco Secure ACS Windows et Cisco Secure ACS Solution Engine semblent être épargnés par cette vulnérabilité.