Множественные уязвимости в Cisco Unified Communications Domain Manager (CUCDM)

Дата публикации:
30.05.2014
Дата изменения:
30.05.2014
Всего просмотров:
515
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
5
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2014-3277
CVE-2014-3279
CVE-2014-3280
CVE-2014-3282
CVE-2014-3283
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Cisco Unified Communications Domain Manager (CUCDM)
Уязвимые версии: Cisco Unified Communications Domain Manager (CUCDM) 9.0(1), возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности и произвести XSS нападение.

1. Приложение не правильно ограничивает доступ к определенной функциональности VOSS Administration GUI. Удаленный пользователь может раскрыть пользователей с ограниченными правами и группы.
Для успешной эксплуатации уязвимости требуются привилегии пользователя Location Administrator.

2. Приложение не правильно ограничивает доступ к определенным веб-страницам Administration GUI. Удаленный пользователь может с получить перечень действующих учетных записей.

3. Приложение не правильно ограничивает доступ к определенным веб-страницам Administration GUI. Удаленный пользователь может раскрыть иную ограниченную информацию.

4. Приложение не правильно ограничивает доступ к определенным веб-страницам Administration GUI. Удаленный пользователь может раскрыть информацию связанную с номерами переводов.
Для успешной эксплуатации уязвимости требуются привилегии пользователя Location Administrator.

5. Уязвимость существует из-за недостаточной обработки входных данных в web framework в VOSS Operating System. Удаленный пользователь может внедрить произвольные HTTP заголовки в ответ, отправляемый пользователю.

URL производителя: http://www.voss-solutions.com/

Решение: Установите последнюю версию с сайта производителя.

Ссылки: http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3277
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3279
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3280
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3282
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3283
http://tools.cisco.com/security/center/viewAlert.x?alertId=34379
http://tools.cisco.com/security/center/viewAlert.x?alertId=34380
http://tools.cisco.com/security/center/viewAlert.x?alertId=34381
http://tools.cisco.com/security/center/viewAlert.x?alertId=34382
http://tools.cisco.com/security/center/viewAlert.x?alertId=34383

или введите имя

CAPTCHA