2021-0962: Cisco Unified Communications Manager (CUCM) Produkte: Zwei Schwachstellen ermöglichen u. a. SQL-Injection-Angriffe

Historie:

Version 1 (2021-05-06 13:32)

Neues Advisory

Version 2 (2021-05-14 17:07)

Cisco hat den Sicherheitshinweis cisco-sa-ucm-dos-OO4SRYEf aktualisiert. Demnach betrifft die Schwachstelle CVE-2021-1478 nicht wie ursprünglich angegeben Cisco Unified Communications Manager (Unified CM) und Cisco Unified Communications Manager Session Management Edition (Unified CM SME).

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Hardware
Netzwerk
Cisco

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um SQL-Injection-Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind übliche Privilegien erforderlich.

Cisco informiert über die Schwachstellen in den Cisco Unified Communications Manager (Unified CM) und Cisco Unified Communications Manager IM & Presence Service Versionszweigen 10.5, 11.0, 11.5, 12.0 und 12.5 und stellt für Cisco Unified Communications Manager (Unified CM) und Cisco Unified Communications Manager Session Management Edition (Unified CM SME) die Version 12.6 sowie für Cisco Unified Communications Manager IM & Presence Service die Versionen 11.5(1)SU9 und 12.5(1)SU4 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2021-1363

Schwachstelle in Cisco Unified Communications Manager IM and Presence Service ermöglicht SQL-Injection-Angriff

CVE-2021-1365

Schwachstelle in Cisco Unified Communications Manager IM and Presence Service ermöglicht SQL-Injection-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.