Boletines de Vulnerabilidades |
Cross-site Scripting e inyecciones SQL en productos Cisco |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Networking |
Software afectado |
Cisco CallManager Cisco Unified Communications Manager |
Descripción |
|
Se ha encontrado una vulnerabilidad en Cisco CallManager y en Cisco Unified Communications Manager. La vulnerabilidad reside en que los productos son vulnerables a ataques de tipo cross-site Scripting (XSS) e inyecciones SQL en la variable lang en las páginas de autenticación. Un atacante remoto podría ejecutar un JavaScript en la máquina que se conecte a los servidores. |
|
Solución |
|
Actualización de software Cisco (cisco-sa-20070829-ccm) Cisco CallManager 3.3 / Unified Communications Manager 3.3 actualizar a la versión 3.3(5)sr2b http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-33?psrtdcat20e2 Cisco CallManager 3.3 / Unified Communications Manager 4.1 actualizar a la versión 4.1(3)sr5 http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-41?psrtdcat20e2 Cisco CallManager 3.3 / Unified Communications Manager 4.2 actualizar a la versión 4.2(3)sr2 http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-42?psrtdcat20e2 Cisco CallManager 3.3 / Unified Communications Manager 4.3 actualizar a la versión 4.3(1)sr1 http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-43?psrtdcat20e2 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
Cisco Security Advisory (cisco-sa-20070829-ccm) http://www.cisco.com/en/US/products/products_security_advisory09186a00808ae327.shtml |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2007-08-31 |