2018-1095: Cisco Unity Connection: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2018-06-07 16:10)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe eines manipulierten Links, welchen ein Benutzer öffnen muss, oder mit Hilfe eines manipulierten Formulars, welches ein Benutzer absenden muss, einen Cross-Site-Scripting (XSS)-Angriff ausführen und auf diese Weise sensible Benutzerdaten ausspähen.

Cisco bestätigt die Schwachstelle in der zugehörigen Cisco Bug ID CSCvf76417 für Cisco Unity Connection (CUC) 12.5. Dort werden die folgenden, nicht verwundbaren Produktversionen für die Produkte Cisco Unified Communications Manager (CallManager, CCM), Cisco Unity Connection (CUC) und Cisco Unified Presence (CUP) aufgelistet: CUP 11.5(1.15900.9), CUC.12.5(0.97000.66), CUC.12.5(0.97000.65), CUC.12.5(0.97000.64), CUC.12.5(0.97000.29), CUC.12.5(0.97000.28) und CCM 11.5(1.15900.5). Außerdem gibt Cisco unter der Bug ID die folgenden Versionen ohne genauere Softwareangabe als 'Known Fixed Releases' an: 12.5(0.44), 12.5(0.38), 12.5(0.29), 12.5(0.17), 12.5(0.16), 12.5(0.15) und 11.5(1.1856). Nutzer können auch das Cisco Software Download Center nutzen, um ein entsprechendes Sicherheitsupdate für ihr Produkt zu identifizieren (siehe Cisco Bug ID).

Schwachstellen:

CVE-2018-0354

Schwachstelle in Cisco Unity Connection ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.