Cisco Unity Express sérülékenységek

CH azonosító

CH-8392

Angol cím

Cisco Unity Express Cross-Site Scripting and Request Forgery Vulnerabilities

Felfedezés dátuma

2013.02.03.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
Unity Express

Érintett verziók

Cisco Unity Express 7.x

Összefoglaló

A Cisco Unity Express két sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadásokat indíthatnak.

Leírás

  1. Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva létre lehet hajtani bizonyos műveleteket, ha egy bejelentkezett felhasználó meglátogat egy káros weboldalt.

A sérülékenységeket a 8.0 előtti kiadásokban jelentették.

Megoldás

Frissítsen a legújabb verzióra