A Cisco divulgou hoje uma vulnerabilidade de dia zero no software Prime Collaboration Deployment (PCD) da empresa que pode ser explorada para ataques XSS.

Este utilitário de gerenciamento de servidor permite que os administradores executem tarefas de migração ou atualização em servidores no inventário de sua organização.

Rastreado como CVE-2023-20060, o bug foi encontrado na interface de gerenciamento web do Cisco PCD 14 e anteriores por Pierre Vivegnis do Centro de Segurança Cibernética da OTAN (NCSC).

A exploração bem-sucedida permite que invasores não autenticados lancem ataques de script entre sites remotamente, mas requer interação do usuário.

Uma exploração bem-sucedida pode permitir que o invasor execute um código de script arbitrário no contexto da interface afetada ou acesse informações confidenciais baseadas no navegador.

Embora a Cisco tenha compartilhado informações sobre o impacto da falha, a empresa lançará atualizações de segurança para resolvê-la no próximo mês. Por enquanto, nenhuma solução alternativa está disponível para remover o vetor de ataque.