DFN-CERT-2016-0169 Cisco Unity Connection Server: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe [Netzwerk][Cisco]

DFN-CERT-2016-0169 Cisco Unity Connection Server: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unity Connection Server 10.5(2.3009)

Betroffene Plattformen:

Cisco Unity Connection Server

Zwei Schwachstellen in Cisco Unity Connection Server ermöglichen einem
entfernten, nicht authentifizierten Angreifer beliebigen Programmcode im
Kontext der angegriffenen Seite auszuführen (Cross-Site-Scripting, XSS).

Cisco informiert darüber, dass Cisco Unity Connection Server in der Version
10.5(2.3009) verwundbar ist, stellt aber keine Sicherheitsupdates zur
Verfügung.

CVE-2016-1304: Schwachstelle in Cisco Unity Connection ermöglicht
Cross-Site-Scripting-Angriff

Durch ungenügende Prüfung eines vom Nutzer in der Web-basierten
Managementschnittstelle des Cisco Unity Connection (UC) Servers eingegebenen
Wertes besteht die Möglichkeit eines Cross-Site-Scripting-Angriffs. Ein
entfernter, nicht authentifizierter Angreifer, der einen Benutzer dazu
bringt, einen schädlichen Link aufzurufen, kann diese Schwachstelle
ausnutzen und beliebigen Programmcode im Kontext der angegriffenen Seite
ausführen (XSS).

CVE-2016-1300: Schwachstelle in Cisco Unity Connection ermöglicht
Cross-Site-Scripting-Angriff

Durch ungenügende Prüfung der von Nutzern getätigten Eingaben im
Web-Framework der Cisco Unity Connection (UC) besteht die Möglichkeit eines
Cross-Site-Scripting-Angriffs. Ein entfernter, nicht authentifizierter
Angreifer, der einen Benutzer dazu bringt einen schädlichen Link aufzurufen,
kann diese Schwachstelle ausnutzen und beliebigen Programmcode im Kontext
der angegriffenen Seite ausführen (XSS).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0169/

Cisco Security Advisory cisco-sa-20160127-uc (CVE-2016-1300):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160127-uc

Schwachstelle CVE-2016-1300 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1300

Cisco Security Advisory cisco-sa-20160128-uc (CVE-2016-1304):
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160128-uc

Schwachstelle CVE-2016-1304 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1304

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben