в том, что на одной из страничек этого интерфейса управления показывается содержимое буферов памяти маршрутизатора. Таким образом, если в таком буфере появится код JavaScript, то он будет исполнен в браузере администратора. В результате, у нападающего возникает возможность исполнить определенный код от имени администратора, например, сменить пароль или добавить нового пользователя. Естественно, что при управлении маршрутизатором из командной строки такой проблемы не возникает. Таким образом, если и возникает необходимость управлять устройствами Cisco через Web-интерфейс, то не рекомендуется просматривать с его помощью состояние буферов памяти, а особенно содержание передаваемых пакетов.

Поделитесь материалом с коллегами и друзьями