行业动态

SecurityTracker警报ID：   1039277

SecurityTracker URL：   http : //securitytracker.com/id/1039277

CVE参考：   CVE-2017-12212   （链接到外部网站）

日期：   2017年9月7日 

影响：   披露认证信息，披露用户信息，通过网络执行任意代码，修改用户信息

修复可用：   是   供应商确认：   是的  

说明：    Cisco Unity Connection中报告了一个漏洞。远程用户可以进行跨站点脚本攻击。

在显示输入之前，Web框架不能从用户提供的输入过滤HTML代码。远程用户可以创建特制的URL，当由目标用户加载时，会导致目标用户的浏览器执行任意脚本代码。该代码将源自Cisco Unity Connection界面，并将在该站点的安全上下文中运行。因此，代码将能够访问与站点相关联的目标用户的Cookie（包括身份验证cookie）（如果有的话），将目标用户最近通过Web表单提交的数据访问到站点，或在站点上执行操作充当目标用户。

供应商已经为此漏洞分配了错误ID CSCvf25345。

影响：    远程用户可以访问与Cisco Unity Connection接口相关联的目标用户的Cookie（包括身份验证Cookie），将目标用户最近通过Web表单提交的数据访问接口，或对接口执行操作作为目标用户。

解决方案：    供应商已发布修复。

供应商咨询可从以下网址获得：https ：//tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cuc

供应商网址：  tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cuc （链接到外部网站） 

原因：   输入验证错误