Cisco Unified Customer Voice Portal (CVP) sérülékenységek


2013. május 9. 08:55

CH azonosító

CH-9158

Angol cím

Cisco Unified Customer Voice Portal (CVP) Multiple Vulnerabilities

Felfedezés dátuma

2013.05.08.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Unified Customer Voice Portal (CVP)

Érintett verziók

Cisco Unified Customer Voice Portal (CVP) 9.x

Összefoglaló

A Cisco Unified Customer Voice Portal (CVP) több sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és megkerülhetnek egyes biztonsági szabályokat.

Leírás

  1. A CallServer komponens SIP INVITE csomagok feldolgozása során keletkező hibáját kihasználva az alkalmazás nem képes további hívásokat fogadni, ha egy speciálisan összeállított SIP INVITE csomagot küldenek az eszköznek.
  2. A Tomcat Web Management komponens konfigurálásában lévő nem részletezett hibát kihasználva adminisztrátori jogosultságot lehet szerezni.
  3. A Tomcat Web Management komponens konfigurálásában lévő nem részletezett hibát kihasználva nem hitelesített felhasználói webes alkalmazásokat lehet futtatni.
  4. A log viewer egy hibáját kihasználva, amely bizonyos paraméterek kezelése során keletkezik, speciálisan elkészített kérések segítségével tetszőleges rendszerfájlhoz lehet hozzáférni.
  5. A Resource Manager komponens egy hibáját kihasználva, amely bizonyos paraméterek kezelése során keletkezik, felül lehet írni a rendszerfájlokat könyvtár bejárásos támadás segítségével.
  6. A Resource Manager egy hibáját kihasználva, amely az XML entity expansion-ök hiányos ellenőrzése miatt keletkezik, speciálisan elkészített kérések segítségével tetszőleges rendszerfájlhoz lehet hozzáférni.

A sérülékenységeket a 9.0.1 ES 11 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Unspecified (Nem részletezett)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
CVE-2013-1220 - NVD CVE-2013-1220
CVE-2013-1221 - NVD CVE-2013-1221
CVE-2013-1222 - NVD CVE-2013-1222
CVE-2013-1223 - NVD CVE-2013-1223
CVE-2013-1224 - NVD CVE-2013-1224
CVE-2013-1225 - NVD CVE-2013-1225
SECUNIA 53306

Legfrissebb sérülékenységek
CVE-2026-1281 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenység
CVE-2026-24858 – Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2026-1448 – D-Link sérülékenysége
CVE-2026-23745 – “node-tar” Library Path Traversal sérülékenység
CVE-2026-21509 – Microsoft Office Security Feature Bypass sérülékenység
CVE-2026-24061 – GNU InetUtils Argument Injection sérülékenység
CVE-2026-23760 – SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2025-52691 – SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2018-14634 – Linux Kernel Integer Overflow sérülékenység
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
Tovább a sérülékenységekhez »