Cisco Unified Customer Voice Portal (CVP) sérülékenységek


2013. május 9. 08:55

CH azonosító

CH-9158

Angol cím

Cisco Unified Customer Voice Portal (CVP) Multiple Vulnerabilities

Felfedezés dátuma

2013.05.08.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Unified Customer Voice Portal (CVP)

Érintett verziók

Cisco Unified Customer Voice Portal (CVP) 9.x

Összefoglaló

A Cisco Unified Customer Voice Portal (CVP) több sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és megkerülhetnek egyes biztonsági szabályokat.

Leírás

  1. A CallServer komponens SIP INVITE csomagok feldolgozása során keletkező hibáját kihasználva az alkalmazás nem képes további hívásokat fogadni, ha egy speciálisan összeállított SIP INVITE csomagot küldenek az eszköznek.
  2. A Tomcat Web Management komponens konfigurálásában lévő nem részletezett hibát kihasználva adminisztrátori jogosultságot lehet szerezni.
  3. A Tomcat Web Management komponens konfigurálásában lévő nem részletezett hibát kihasználva nem hitelesített felhasználói webes alkalmazásokat lehet futtatni.
  4. A log viewer egy hibáját kihasználva, amely bizonyos paraméterek kezelése során keletkezik, speciálisan elkészített kérések segítségével tetszőleges rendszerfájlhoz lehet hozzáférni.
  5. A Resource Manager komponens egy hibáját kihasználva, amely bizonyos paraméterek kezelése során keletkezik, felül lehet írni a rendszerfájlokat könyvtár bejárásos támadás segítségével.
  6. A Resource Manager egy hibáját kihasználva, amely az XML entity expansion-ök hiányos ellenőrzése miatt keletkezik, speciálisan elkészített kérések segítségével tetszőleges rendszerfájlhoz lehet hozzáférni.

A sérülékenységeket a 9.0.1 ES 11 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2013-1220 - NVD CVE-2013-1220
CVE-2013-1221 - NVD CVE-2013-1221
CVE-2013-1222 - NVD CVE-2013-1222
CVE-2013-1223 - NVD CVE-2013-1223
CVE-2013-1224 - NVD CVE-2013-1224
CVE-2013-1225 - NVD CVE-2013-1225
SECUNIA 53306

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »