int(2483)

Boletines de Vulnerabilidades


Cross Site Scripting en Cisco CallManager

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Principiante
Requerimientos del atacante Acceso remoto con cuenta

Información sobre el sistema

Propiedad Valor
Fabricante afectado Networking
Software afectado Cisco CallManager 3.1.x

Descripción

Se ha descubierto una vulnerabilidad en Cisco CallManager 3.1 y versiones superiores. La vulnerabilidad reside en un error al validar la entrada del usuario y la codificación de salida.

Un atacante remoto podría ejecutar código HTML y Web Script para realizar ataques Cross-Site Scripting (XSS).

Solución



Actualización de software

Cisco
Cisco CallManager / 4.3(1)
Cisco CallManager / 4.2(3)
Cisco CallManager / 4.1(3)SR4
Cisco CallManager / 3.3(5)SR3
http://www.cisco.com/warp/public/707/cisco-sr-20060619-ccmxss.shtml

Identificadores estándar

Propiedad Valor
CVE CVE-2006-3109
BID 18504

Recursos adicionales

Cisco Security Advisory (70502)
http://www.cisco.com/warp/public/707/cisco-sr-20060619-ccmxss.shtml

Fishnetsecurity
http://www.fishnetsecurity.com/csirt/disclosure/cisco/Cisco+CallManager+XSS+Advisory.htm

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2006-06-20
1.1 CVE añadido. Otras referencias añadidas. Exploit público disponible 2006-07-05

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT