Cisco Unified MeetingPlace cross-site scripting és SQL beszúrásos sérülékenységek

CH azonosító

CH-6822

Angol cím

Cisco Unified MeetingPlace Cross-Site Scripting and SQL Injection Vulnerabilities

Felfedezés dátuma

2012.05.08.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Unified MeetingPlace

Érintett verziók

Cisco Unified MeetingPlace 7.x

Összefoglaló

A Cisco Unified MeetingPlace több sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) és SQL beszúrásos támadásokat okozhatnak.

Leírás

  1. Bizonyos nem részletezett bemenő adatok nincsenek megfelelően ellenőrizve mielőtt visszaadnák a felhasználónak. Ezt kihasználva, tetszőleges HTML és szkript kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. Bizonyos nem részletezett bemenő adatok nincs megfelelően ellenőrizve mielőtt SQL lekérdezésben használnák. Ezt kihasználva, tetszőleges SQL kód beszúrásával manipulálni lehet az SQL lekérdezéseket.

A sérülékenységeket a 7.1.2.6 (MR1) megelőző verzióknál jelentették.

Megoldás

Frissítsen a legújabb verzióra