CVE-2020-3491

Cisco Vision Dynamic Signage Director (versões afetadas não especificadas)

Uma vulnerabilidade na interface de gerenciamento baseada na web do Cisco Vision Dynamic Signage Director pode permitir que um invasor remoto autenticado, com privilégios administrativos, realize um ataque de cross-site scripting (XSS) contra um usuário da interface em um dispositivo afetado. O problema existe porque a interface não valida adequadamente as entradas fornecidas pelo usuário, permitindo que um invasor insira dados maliciosos em um campo de dados específico e, potencialmente, execute código de script arbitrário ou acesse informações confidenciais do navegador.

Para resolver o problema, atualize o Cisco Vision Dynamic Signage Director para uma versão que valide adequadamente as entradas fornecidas pelo usuário na interface de gerenciamento baseada na web. Como solução alternativa temporária, considere restringir o acesso à interface para minimizar o risco de exploração. Além disso, certifique-se de que apenas usuários confiáveis com privilégios administrativos tenham acesso à interface. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.