Vulnerabilidad en Cisco Spark Messaging Software (CVE-2017-12269)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

05/10/2017

Última modificación:

20/04/2025

Descripción

Existe una vulnerabilidad en la interfaz de usuario web de Cisco Spark Messaging Software que podría permitir que un atacante remoto autenticado realice un ataque de Cross-Site Scripting (XSS) persistente Esta vulnerabilidad se debe a que los mecanismos de validación de entradas de la interfaz de usuario web del software afectado son insuficientes. Un atacante podría explotar esta vulnerabilidad inyectando contenidos XSS en la interfaz de usuario web del software afectado. Una explotación con éxito podría permitir que el atacante fuerce a un usuario para que ejecute código de la elección del atacante o que el atacante recupere información sensible del usuario. Cisco Bug IDs: CSCvf70587, CSCvf70592.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:S/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: AV:N/AC:M/Au:S/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno