2021-0143: Cisco Unified Communications Manager Produkte: Mehrere Schwachstellen ermöglichen u. a. SQL-Injection-Angriffe

Historie:

Version 1 (2021-01-21 13:25): Neues Advisory

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Hardware
Netzwerk
Cisco

Beschreibung:

Ein Angreifer, der entweder über übliche oder erweiterte Privilegien verfügen muss, kann mehrere Schwachstellen aus der Ferne ausnutzen, um SQL-Injection- und Path-Traversal-Angriffe durchzuführen, welche ihm das Ausspähen von Informationen ermöglichen.

Cisco informiert über die Schwachstellen in den Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME) und Cisco Unified Communications Manager IM & Presence Service Versionszweigen 10.5, 11.0, 11.5, 12.0 und 12.5 und stellt sowohl für Cisco Unified Communications Manager (Unified CM) und Cisco Unified Communications Manager Session Management Edition (Unified CM SME) die Versionen 11.5(1)SU9, 12.0(1)SU4 und 12.5(1)SU4 als auch für Cisco Unified Communications Manager IM & Presence Service die Versionen 11.5(1)SU9 und 12.5(1)SU4 bereit. Die Version 12.5(1)SU4 wird voraussichtlich im März 2021 verfügbar sein. Cisco gibt des Weiteren an, dass für einige Versionszweige keine Releases zur Behebung der Schwachstellen geplant sind.

Schwachstellen:

CVE-2021-1282

Schwachstelle in Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition ermöglicht SQL-Injection-Angriff

CVE-2021-1355

Schwachstelle in Cisco Unified Communications Manager IM and Presence Service ermöglicht SQL-Injection-Angriff

CVE-2021-1357

Schwachstelle in Cisco Unified Communications Manager IM and Presence Service ermöglicht Path-Traversal-Angriff

CVE-2021-1364