Érintett rendszerek
CISCOUnified CallManager
Unified Communications Manager
Érintett verziók
CISCO Unified CallManager 3.x-4.x
CISCO Unified Communications Manager 4.x
Összefoglaló
Több sebezhetőséget jelentettek a Cisco Unified CallManager and Unified Communications Managerben (CUCM), amit rosszindulatú támadók kihasználhatnak cross-site scripting és SQL befecskendezéses támadások levezetésére.
Leírás
Több sebezhetőséget jelentettek a Cisco Unified CallManager and Unified Communications Managerben (CUCM).
- Az adminisztrátor vagy a felhasználó bejelentkező oldal meghatározatlan paramétereinek átadott bemenet nincs megfelelően megtisztítva, mielőtt visszakapja a felhasználó. Ezt kihasználva tetszőleges HTML és szkript kód futtatható a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatban.
- Az adminisztrátor vagy a felhasználó bejelentkező oldal meghatározatlan paramétereinek átadott bemenet nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ezt kihasználva módosítani lehet az SQL lekérdezéseket tetszőleges SQL kód befecskendezésével.
A sérülékenységek a Cisco CallManager és Unified Communications Manager 3.3(5)sr2b, 4.1(3)sr5, 4.2(3)sr2, illetve 4.3(1)sr1 előtti verzióit érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 26641
Gyártói referencia: www.cisco.com