2019-2052: Cisco Unified Communications Manager Produkte: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Request-Forgery-Angriff
Historie:
- Version 1 (2019-10-04 20:25)
- Neues Advisory
- Version 2 (2019-10-16 14:31)
- Cisco aktualisiert das Security Advisory cisco-sa-20191002-cucm-csrf (Schwachstelle CVE-2019-1915) bezüglich der korrigieren Software. Statt der 'CSCvo42306 cop.sgn' Datei-Versionen 1.7 stehen die Dateien jetzt in der Version 1.8 zur Verfügung.
- Version 3 (2019-10-24 11:22)
- Cisco weist darauf hin, dass Cisco Unified Communications Manager 11.5(1)SU6 anders als bisher angegeben die Schwachstellen CVE-2019-12711 und CVE-2019-15272 nicht behebt.
Betroffene Software
Netzwerk
Server
Betroffene Plattformen
Hardware
Netzwerk
Cisco
Beschreibung:
Aufgrund mehrerer Schwachstellen in den Cisco Unified Communications Manager Produkten Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition (SME), Cisco Unified Communications Manager IM and Presence (Unified CM IM&P) Service und Cisco Unity Connection ist es einem meist entfernten, nicht authentisierten Angreifer möglich, einen Cross-Site-Request-Forgery-Angriff, einen SQL-Injection-Angriff, einen Denial-of-Service (DoS)-Angriff und verschiedene Cross-Site-Scripting (XSS)-Angriffe durchzuführen, Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen.
Cisco informiert über die Schwachstellen in Unified Communications Manager in den Versionen bis einschließlich 10.5(2), 11.0, 11.5 bis 11.5(1)SU5, 12.0 bis 12.0(1)SU2, 12.5 und 12.5(1), Unified Communications Manager IM and Presence Service in den Versionen bis einschließlich 10.5(2), 11.0, 11.5 bis 11.5(1)SU5, 12.0, 12.5 und 12.5(1) und Unity Connection in den Versionen bis einschließlich 10.5(2), 11.0, 11.5 bis 11.5(1)SU5, 12.0, 12.5 und 12.5(1). Behoben sind die Schwachstellen in Unified Communications Manager und Unity Connection in den Versionen 10.5(2)SU9, 11.5(1)SU6, 12.0(1)SU3 und 12.5(1)SU1 und in Unified Communications Manager IM and Presence Service in den Versionen 10.5(2)ES, 11.5(1)SU6 und 12.5(1)SU1.
Schwachstellen:
CVE-2019-12707
Schwachstelle in Cisco Unified Communikations Produkten ermöglicht Cross-Site-Scripting-AngriffCVE-2019-12710
Schwachstelle in Cisco Unified Communications Manager ermöglicht SQL-Injection-AngriffCVE-2019-12711
Schwachstelle in Cisco Unified Communications Manager ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-12715
Schwachstelle in Cisco Unified Communications Manager ermöglicht Cross-Site-Scripting-AngriffCVE-2019-12716
Schwachstelle in Cisco Unified Communications Manager ermöglicht Cross-Site-Scripting-AngriffCVE-2019-15272
Schwachstelle in Cisco Unified Communications Manager ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-1915
Schwachstelle in Cisco Unified Communications Produkten ermöglicht Cross-Site-Request-Forgery-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.