Cisco
ha confirmado una vulnerabilidad en Cisco Unified Communications Domain Manager
versión 8 que podría permitir a un atacante realizar ataques de cross-site scripting.
La solución Unified
Communications de Cisco es un conjunto de productos y aplicaciones de
comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified
Communications Domain Manager (Cisco Unified CDM) es una plataforma de
distribución de servicios y gestión que proporciona funciones de automatización
y administración sobre Cisco Unified Communications Manager, Cisco Unity
Connection y aplicaciones Cisco Jabber, así como sobre los teléfonos asociados
y clientes de software.
El problema, con CVE-2014-8018, se
debe a una validación insuficiente de múltiples parámetros en las páginas de Business
Voice Services Manager (BVSM). Un atacante remoto podría construir un ataque de
cross-site scripting a través de enlaces maliciosos. Con ello el atacante
podría acceder a las cookies (incluyendo las de autenticación) y a información
recientemente enviada, además de poder realizar acciones en el sitio haciéndose
pasar por la víctima.
Cisco no ofrece actualizaciones
gratuitas para este problema. Para obtener versiones actualizadas se debe
contactar con el canal de soporte.
Más información:
Cisco Unified Communications Domain Manager XSS
Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario