Cisco
ha confirmado una vulnerabilidad en Cisco Unified Communications Manager
(versiones 8.6 y 9.1) que podría
permitir a un atacante realizar ataques de cross-site scripting.
La solución Unified
Communications de Cisco es un conjunto de productos y aplicaciones de
comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified
Communications Manager es el componente de procesamiento de llamadas de la
solución de telefonía IP de Cisco (Cisco IP Telephony).
El problema, con CVE-2014-3372,
reside en la interfaz de informes CCM del servidor Cisco Unified Communications
Manager Server debido a una validación inadecuada de determinados parámetros pasados
a través de métodos HTTP GET o POST. Esto podría permitir a un atacante remoto
realizar ataques de cross-site scripting. Con ello el atacante podría acceder a
las cookies (incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose pasar por la
víctima.
Se ven afectadas las versiones 8.6 Base, .1, .2 y 9.1(2.10000.28) Base. Cisco no ofrece
actualizaciones gratuitas para este problema. Para obtener versiones
actualizadas se debe contactar con el canal de soporte.
Más información:
Cisco Unified Communications Manager Reports
Interface Reflected Cross-Site Scripting Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario