Vulnerabilidad en Cisco Unified Communications Manager (CVE-2018-0340)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/06/2018
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en el framework web del software Cisco Unified Communications Manager (Unified CM) podría permitir que un atacante remoto autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) reflejado contra un usuario de dicha interfaz en el sistema afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de ciertos parámetros que se pasan al servidor web. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario para que entre a un enlace malicioso o interceptando una petición de usuario e inyectando cierto código malicioso. Si se explota esta vulnerabilidad con éxito, el atacante podría ejecutar código de script arbitrario en el contexto del sitio afectado o permitir que el atacante pueda acceder a información confidencial del navegador. Cisco Bug IDs: CSCvj00512.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_communications_manager:10.5\(2.10000.5\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:11.0\(1.10000.10\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:11.5\(1.10000.6\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:12.0\(1.10000.10\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página