Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Meeting Server >= 1.7
Cisco Meeting Server <= 1.9 Betroffene Plattformen: Cisco Meeting Server Ein entfernter, nicht authentisierter Angreifer kann einen persistenten Cross-Site-Scripting (XSS)-Angriff gegen einen Benutzer der Web-Schnittstelle eines betroffenen Systems durchführen, wenn er den Benutzer zum Besuch einer schädlichen Webseite verleiten kann, um beliebigen Programmcode auszuführen oder sensible Browser-Informationen auszuspähen. Cisco bestätigt die Schwachstelle für Cisco Meeting Server in den Versionen 1.7 bis 1.9 und stellt Sicherheitsupdates bereit, um die Schwachstelle zu schließen. Patch: Cisco Security Advisory cisco-sa-20160714-ms (CVE-2016-1451) http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-ms

CVE-2016-1451: Schwachstelle in Cisco Meeting Server erlaubt persistenten
Cross-Site-Scripting-Angriff

Eine Schwachstelle existiert im Cisco Meeting Server (ehemals Acano
Conferencing Server) aufgrund ungenügender Überprüfung bzw. Filterung
bestimmter Parameter, die von Benutzern mittels einer HTTP-Anfrage als
Eingabe übergeben werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1138/

Cisco Security Advisory cisco-sa-20160714-ms (CVE-2016-1451):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160714-ms

Schwachstelle CVE-2016-1451 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1451

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.