关键信息 漏洞概述 漏洞名称: Cisco IOS XE Software Web UI Reflected Cross-Site Scripting Vulnerability CVE编号: CVE-2015-6384 CVSS评分: 5.0 (中等) 发布日期: 2015年9月23日 影响的产品 受影响产品: Cisco IOS XE Software 版本 3.1S、3.2S 和 3.4S 系列 不受影响产品: Cisco IOS Software、Cisco IOS XR Software 和 NX-OS Software 漏洞描述 漏洞类型: 反射型跨站脚本(XSS) 原因: 由于对用户输入的不正确验证,攻击者可以通过发送特制的HTTP请求利用此漏洞。 影响: 成功利用此漏洞可使攻击者在受影响设备的Web界面中注入和执行任意HTML代码。 配置检查 HTTP Server Configuration: 使用 命令检查HTTP Server功能是否启用。 WebAuth Configuration for Switches: 使用 命令检查WebAuth功能是否启用。 WebAuth Configuration for WLCs: 使用 命令检查WebAuth功能是否启用。 缓解措施 禁用HTTP Server: 在全局配置模式下使用 命令禁用HTTP Server功能。 限制远程访问: 使用 命令限制对HTTP Server的远程访问。 固定软件 建议升级到: Cisco IOS和IOS XE Software的最新版本。 具体步骤: 查看Cisco Software Center页面以获取修复此漏洞的软件版本。 公开披露和利用 已知公开概念验证代码: 存在针对此漏洞的概念验证代码。 已知利用情况: 已有报告表明此漏洞已被利用。