Vulnerabilidad en la interfaz de gestión web de Cisco (CVE-2019-1702)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
11/03/2019
Última modificación:
09/10/2019
Descripción
Múltiples vulnerabilidades en la interfaz de gestión web de Cisco Enterprise Chat and Email podría permitir a atacante remoto no autenticado realizar un ataque de Cross-Site Scripting (XSS) contra un usuario de la interfaz de gestión web del software afectado. Las vulnerabilidades se deben a la validación insuficiente de entrada de datos de parte del usuario en la interfaz de gestión web del software afectado. Un atacante podría explotar estas vulnerabilidades o bien inyectando código malicioso en una ventana de chat o bien enviando un enlace manipulado a un usuario de la interfaz. En ambos casos, el atacante deberá persuadir al usuario para que haga clic en el enlace manipulado o abra la ventana de chat que contiene el código del atacante. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información sensible del navegador. La versión 11.6(1) se ve afectada.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:enterprise_chat_and_email:11.6\(1\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página