2024-1487: Cisco Finesse: Zwei Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2024-06-06 13:40)

Neues Advisory

Version 2 (2024-06-17 09:23)

Der Hersteller hat den Sicherheitshinweis aktualisiert und kündigt Unified Contact Center Express (UCCX) Version 12.5(1) SU3 ES06 als Sicherheitsupdate an.

Betroffene Software

Middleware
Netzwerk
Office
Server

Betroffene Plattformen

Cisco

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff und einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung aller Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstelle in Cisco Finesse und in den damit gebündelten Produkten Packaged Contact Center Enterprise (PCCE), Unified Contact Center Enterprise (UCCE) sowie Unified Contact Center Express (UCCX) und gibt an, dass diese in der Cisco Finesse Version 12.6(2) ES03 behoben wurde.

Schwachstellen:

CVE-2024-20404

Schwachstelle in Cisco Finesse ermöglicht Server-Side-Request-Forgery

CVE-2024-20405

Schwachstelle in Cisco Finesse ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.