Cisco ha
confirmado una vulnerabilidad en Cisco Unified Communications Domain Manager
versión 8 que podría permitir a un atacante realizar ataques de cross-site
scripting.
La solución Unified Communications de Cisco es
un conjunto de productos y aplicaciones de comunicaciones que reúne e integra
voz, vídeo y datos. Cisco Unified Communications Domain Manager (Cisco Unified
CDM) es una plataforma de distribución de servicios y gestión que proporciona
funciones de automatización y administración sobre Cisco Unified Communications
Manager, Cisco Unity Connection y aplicaciones Cisco Jabber, así como sobre los
teléfonos asociados y clientes de software.
Detalle e Impacto de la vulnerabilidad
- El problema, con CVE-2014-8018, se debe a una validación insuficiente de múltiples parámetros en las páginas de Business Voice Services Manager (BVSM). Un atacante remoto podría construir un ataque de cross-site scripting a través de enlaces maliciosos.
- Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
- Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.
- Cisco Unified Communications Domain Manager XSS Vulnerability
- http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8018
