Vulnerability Bulletins |
Cross-site Scripting e inyecciones SQL en productos Cisco |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Networking |
| Affected software |
Cisco CallManager Cisco Unified Communications Manager |
Description |
|
|
Se ha encontrado una vulnerabilidad en Cisco CallManager y en Cisco Unified Communications Manager. La vulnerabilidad reside en que los productos son vulnerables a ataques de tipo cross-site Scripting (XSS) e inyecciones SQL en la variable lang en las páginas de autenticación. Un atacante remoto podría ejecutar un JavaScript en la máquina que se conecte a los servidores. |
|
Solution |
|
|
Actualización de software Cisco (cisco-sa-20070829-ccm) Cisco CallManager 3.3 / Unified Communications Manager 3.3 actualizar a la versión 3.3(5)sr2b http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-33?psrtdcat20e2 Cisco CallManager 3.3 / Unified Communications Manager 4.1 actualizar a la versión 4.1(3)sr5 http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-41?psrtdcat20e2 Cisco CallManager 3.3 / Unified Communications Manager 4.2 actualizar a la versión 4.2(3)sr2 http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-42?psrtdcat20e2 Cisco CallManager 3.3 / Unified Communications Manager 4.3 actualizar a la versión 4.3(1)sr1 http://www.cisco.com/pcgi-bin/tablebuild.pl/callmgr-43?psrtdcat20e2 |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
Cisco Security Advisory (cisco-sa-20070829-ccm) http://www.cisco.com/en/US/products/products_security_advisory09186a00808ae327.shtml |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2007-08-31 |