CH azonosító
CH-6822Angol cím
Cisco Unified MeetingPlace Cross-Site Scripting and SQL Injection VulnerabilitiesFelfedezés dátuma
2012.05.08.Súlyosság
KözepesÖsszefoglaló
A Cisco Unified MeetingPlace több sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) és SQL beszúrásos támadásokat okozhatnak.
Leírás
- Bizonyos nem részletezett bemenő adatok nincsenek megfelelően ellenőrizve mielőtt visszaadnák a felhasználónak. Ezt kihasználva, tetszőleges HTML és szkript kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- Bizonyos nem részletezett bemenő adatok nincs megfelelően ellenőrizve mielőtt SQL lekérdezésben használnák. Ezt kihasználva, tetszőleges SQL kód beszúrásával manipulálni lehet az SQL lekérdezéseket.
A sérülékenységeket a 7.1.2.6 (MR1) megelőző verzióknál jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49104
CVE-2012-0337 - NVD CVE-2012-0337
Gyártói referencia: www.cisco.com