2018-0942: Cisco Unified Communications Manager, Unified Presence: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2018-05-17 17:03)

Neues Advisory

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Hardware
Netzwerk
Cisco

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im Web-Framework des Cisco Unified Communications Managers und Cisco Unified Presence ausnutzen, um durch einen Cross-Site-Scripting (XSS)-Angriff gegen einen Benutzer der Weboberfläche beliebigen Skript- oder HTML-Code auszuführen. Der Angreifer muss dazu den Benutzer der Software zum Aufruf einer speziell präparierten URL verleiten.

Cisco bestätigt die Schwachstellen in der zugehörigen Cisco Bug ID CSCvg89116 für die Cisco Unified Communications Manager Versionen 10.5(2.10000.5), 11.0(1.10000.10), 11.5(1.10000.6) und 12.0(1.10000.10).

In der Bug ID werden die folgenden, nicht verwundbaren Produktversionen für die Produkte Cisco Unified Communications Manager (CallManager, CCM), Cisco Unified Presence (CUP), Cisco Unity Connection (CUC) und das Migrationswerkzeug UCMAP aufgelistet: CCM.10.5(2.17146.1), CCM.10.5(2.17900.1), CCM.10.5(2.17900.13), CCM.11.0(1.25091.1), CCM.11.5(1.14069.1), CCM.11.5(1.14900.11), CCM.11.5(1.14900.6), CCM.12.0(1.22010.1), CCM.12.5(0.98000.264), CUC.12.0(1.22007.3), CUC.12.5(0.97000.108), CUP.11.5(1.14900.17), CUP.11.5(1.14900.20), CUP.11.5(1.14900.21), CUP.11.5(1.14900.32), CUP.12.0(1.21000.4), CUP.12.5(0.98000.347), CUP.12.5(0.98000.348), CUP.12.5(0.98000.349) und UCMAP.12.5(0.98000.133).

Schwachstellen:

CVE-2018-0328

Schwachstelle in Cisco Unified Communications Manager ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.