独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月14日、Cisco Catalyst 2940 シリーズ スイッチにおけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。サイバーセキュリティ研究団の今岡陵氏が報告を行っている。影響を受けるシステムは以下の通り。
Cisco Catalyst 2940 シリーズ スイッチ 12.2(50)SY より前のファームウェアバージョン
Cisco Systems, Inc. が提供する Cisco Catalyst 2940 シリーズ スイッチの 12.2(50)SY より前のファームウェアには、ユーザ入力の扱いに不備がありエラーページ生成処理にクロスサイトスクリプティングの脆弱性が存在し、当該製品を使用しているユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。なお本脆弱性は、2011年にリリースされた 12.2(50)SY で対策されている。
当該製品は2015年にサポート終了しているが、2022年現在も製品流通が続いており、JVNでの公表に至った。
本脆弱性は2011年にリリースされた 12.2(50)SY で対策されているが、Cisco Systemsでは当該製品の使用停止と後継製品への移行を推奨している。
![防衛研究所の注目書籍 PDF 無償公開/リスク移転後の万が一/露 情報操作 見本市状態 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/38381.jpg)
