CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/12/2014

Cross-Site scripting en Cisco Unified Communications Domain Manager

Cisco ha confirmado una vulnerabilidad en Cisco Unified Communications Domain Manager versión 8 que podría permitir a un atacante realizar ataques de cross-site scripting.

Riesgo: Alto

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Communications Domain Manager (Cisco Unified CDM) es una plataforma de distribución de servicios y gestión que proporciona funciones de automatización y administración sobre Cisco Unified Communications Manager, Cisco Unity Connection y aplicaciones Cisco Jabber, así como sobre los teléfonos asociados y clientes de software.

El problema, con CVE-2014-8018, se debe a una validación insuficiente de múltiples parámetros en las páginas de Business Voice Services Manager (BVSM). Un atacante remoto podría construir un ataque de cross-site scripting a través de enlaces maliciosos. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Sistemas Afectados:

Cisco Unified Communications Domain Manager versión 8

Referencias:

CVE-2014-8018

Solución:

Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.

Notas:

Cisco Unified Communications Domain Manager XSS Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8018

 

Fuente: Hispasec una-al-día

CSIRT-CV