Уязвимость BDU:2020-04669

Дата: 05.08.2020. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-04669.

Наименование уязвимости: Уязвимость веб-интерфейса управления систем управления IP-телефонией Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition (SME), системы обработки вызовов Cisco Unified Communications Manager, интегрированной системы обмена сообщениями Cisco Unity Connection, позволяющая нарушителю осуществлять межсайтовые сценарные атаки.

Описание уязвимости: Уязвимость веб-интерфейса управления систем управления IP-телефонией Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition (SME), системы обработки вызовов Unified Communications Manager IM & Presence Service, интегрированной системы обмена сообщениями Cisco Unity Connection связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки
Уязвимое ПО: Сетевое программное средство Cisco Systems Inc. Cisco Unified Communications Manager IM & Presence Service 12.0(1) | Сетевое программное средство Cisco Systems Inc. Cisco Unified Communications Manager от 10.5(2) до 10.5(2)SU10 включительно | Сетевое программное средство Cisco Systems Inc. Cisco Unified Communications Manager от 11.5(1) до 11.5(1)SU8 включительно | Сетевое программное средство Cisco Systems Inc. Cisco Unified Communications Manager от 12.0(1) до 12.0(1)SU3 включительно | Сетевое программное средство Cisco Systems Inc. Cisco Unified Communications Manager от 12.5(1) до 12.5(1)SU2 включительно | Сетевое программное средство Cisco Systems Inc. Cisco Unified Communications Manager IM & Presence Service от 11.5(1) до 11.5(1)SU8 включительно | Сетевое программное средство Cisco Systems Inc. Cisco Unified Communications Manager IM & Presence Service от 12.5(1) до 12.5(1)SU2 включительно | ПО сетевого программно-аппаратного средства Cisco Systems Inc. Cisco Unified Communications Manager SME от 10.5(2) до 10.5(2)SU10 включительно | ПО сетевого программно-аппаратного средства Cisco Systems Inc. Cisco Unified Communications Manager SME от 11.5(1) до 11.5(1)SU8 включительно | ПО сетевого программно-аппаратного средства Cisco Systems Inc. Cisco Unified Communications Manager SME от 12.0(1) до 12.0(1)SU3 включительно | ПО сетевого программно-аппаратного средства Cisco Systems Inc. Cisco Unified Communications Manager SME от 12.5(1) до 12.5(1)SU2 включительно | Сетевое программное средство Cisco Systems Inc. Cisco Unified Communications Manager IM & Presence Service от 10.5(2) до 10.5(2)SU4a включительно | Сетевое программное средство Cisco Systems Inc. Unity Connection от 10.5(2) до 10.5(2)SU10 включительно | Сетевое программное средство Cisco Systems Inc. Unity Connection от 11.5(1) до 11.5(1)SU8 включительно | Сетевое программное средство Cisco Systems Inc. Unity Connection от 12.0(1) до 12.0(1)SU3 включительно | Сетевое программное средство Cisco Systems Inc. Unity Connection от 12.5(1) до 12.5(1)SU2 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 05.08.2020.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению:
Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-cuc-imp-xss-XtpzfM5e
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2020-3532.

Тип ошибки CWE: CWE-79
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-cuc-imp-xss-XtpzfM5e

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *