SecurityTracker警报ID: 1039277
SecurityTracker URL: http : //securitytracker.com/id/1039277
CVE参考: CVE-2017-12212 (链接到外部网站)
日期: 2017年9月7日
影响: 披露认证信息,披露用户信息,通过网络执行任意代码,修改用户信息
修复可用: 是 供应商确认: 是的
说明: Cisco Unity Connection中报告了一个漏洞。远程用户可以进行跨站点脚本攻击。
在显示输入之前,Web框架不能从用户提供的输入过滤HTML代码。远程用户可以创建特制的URL,当由目标用户加载时,会导致目标用户的浏览器执行任意脚本代码。该代码将源自Cisco Unity Connection界面,并将在该站点的安全上下文中运行。因此,代码将能够访问与站点相关联的目标用户的Cookie(包括身份验证cookie)(如果有的话),将目标用户最近通过Web表单提交的数据访问到站点,或在站点上执行操作充当目标用户。
供应商已经为此漏洞分配了错误ID CSCvf25345。
影响: 远程用户可以访问与Cisco Unity Connection接口相关联的目标用户的Cookie(包括身份验证Cookie),将目标用户最近通过Web表单提交的数据访问接口,或对接口执行操作作为目标用户。
解决方案: 供应商已发布修复。
供应商咨询可从以下网址获得:https ://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cuc
供应商网址: tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170906-cuc (链接到外部网站)
原因: 输入验证错误