int(3388)

Boletines de Vulnerabilidades

Cross-site Scripting e inyecciones SQL en productos Cisco

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema
Propiedad Valor
Fabricante afectado Networking
Software afectado Cisco CallManager
Cisco Unified Communications Manager

Descripción
Se ha encontrado una vulnerabilidad en Cisco CallManager y en Cisco Unified Communications Manager. La vulnerabilidad reside en que los productos son vulnerables a ataques de tipo cross-site Scripting (XSS) e inyecciones SQL en la variable lang en las páginas de autenticación.

Un atacante remoto podría ejecutar un JavaScript en la máquina que se conecte a los servidores.

Solución


Actualización de software

Cisco (cisco-sa-20070829-ccm)
Cisco CallManager 3.3 / Unified Communications Manager 3.3 actualizar a la versión 3.3(5)sr2b
http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-33?psrtdcat20e2
Cisco CallManager 3.3 / Unified Communications Manager 4.1 actualizar a la versión 4.1(3)sr5
http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-41?psrtdcat20e2
Cisco CallManager 3.3 / Unified Communications Manager 4.2 actualizar a la versión 4.2(3)sr2
http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-42?psrtdcat20e2
Cisco CallManager 3.3 / Unified Communications Manager 4.3 actualizar a la versión 4.3(1)sr1
http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-43?psrtdcat20e2

Identificadores estándar
Propiedad Valor
CVE
BID

Recursos adicionales
Cisco Security Advisory (cisco-sa-20070829-ccm)
http://www.cisco.com/en/US/products/products_security_advisory09186a00808ae327.shtml

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2007-08-31

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT