DFN-CERT-2017-2157 Cisco Unified Communications Manager: Eine Schwachstelle ermöglicht Cross-Site-Scripting-Angriff [Netzwerk][Cisco]

DFN-CERT-2017-2157 Cisco Unified Communications Manager: Eine Schwachstelle ermöglicht Cross-Site-Scripting-Angriff [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Communications Manager 10.5(2.10000.5)
Cisco Unified Communications Manager < 10.5(2.17137.1) Cisco Unified Communications Manager 11.0(1.10000.10) Cisco Unified Communications Manager < 11.0(1.24085.1) Cisco Unified Communications Manager 11.5(1.10000.6) Cisco Unified Communications Manager < 11.5(1.14063.1) Cisco Unified Communications Manager 12.0(1.10000.10) Cisco Unified Communications Manager < 12.0(1.21004.1) Cisco Unified Communications Manager < 12.5(0.98000.69) Betroffene Plattformen: Cisco Unified Communications Eine Schwachstelle in Cisco Unified Communications Manager (UCM) ermöglicht einem entfernten, einfach authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs im Kontext des Web-Management-Interfaces und das Ausspähen sensitiver Browser-Daten eines Benutzers. Cisco bestätigt die Schwachstelle und verweist bezüglich gefixter Versionen auf die zugehörige Bug ID CSCvf79346. Darin werden unter 'Known Affected Releases' die Versionen 10.5(2.10000.5), 11.0(1.10000.10), 11.5(1.10000.6) und 12.0(1.10000.10) des Cisco UCM aufgeführt. Für den Versionszweig 10.5 steht Version 10.5(2.17137.1), für den Zweig 11.0 Version 11.0(1.24085.1), für den Zweig 11.5 Version 11.5(1.14063.1) und für den Zweig 12.0 Version 12.0(1.21004.1) zur Verfügung. Patch: Cisco Security Update cisco-sa-20171129-cucm (CVE-2017-12357) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-cucm

CVE-2017-12357: Schwachstelle in Cisco Unified Communications Manager
ermöglicht Cross-Site-Scripting-Angriff

In der Weboberfläche des Management-Interfaces von Cisco Unified
Communications Manager (UCM) existiert eine Schwachstelle aufgrund
fehlerhafter Überprüfung von Nutzereingaben. Dies ermöglicht einem Angreifer
die Durchführung eines Cross-Site-Scripting (XSS)-Angriffes und dadurch die
Ausführung beliebigen Script-Codes im Kontext des Web-Interfaces. Außerdem
kann der Angreifer sensitive Browser-Daten ausspähen. Voraussetzung ist, das
es dem Angreifer gelingt einen Benutzer dazu zu verleiten auf einen
schädlich präparierten Link zu klicken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2157/

Cisco Security Update cisco-sa-20171129-cucm (CVE-2017-12357):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171129-cucm

Schwachstelle CVE-2017-12357 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12357

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben