Mohamed Sayed

**Nome do software vulnerável e versões afetadas: Versões do Cisco Unified Communications Manager (versões afetadas não especificadas) Versões do Cisco Unified Communications Manager Session Management Edition (versões afetadas não especificadas) Descrição: O problema está relacionado à inclusão indevida de informações confidenciais em arquivos para download, o que poderia permitir que um invasor remoto autenticado acessasse informações confidenciais em um dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade autenticando-se no dispositivo e emitindo comandos específicos, obtendo potencialmente credenciais hashadas de usuários do sistema. O invasor precisaria de credenciais de usuário válidas com privilégios elevados para explorar essa vulnerabilidade. Recomendações: Para o Cisco Unified Communications Manager, restrinja o acesso a arquivos para download até que um patch esteja disponível. Para o Cisco Unified Communications Manager Session Management Edition, considere desativar a capacidade de baixar arquivos confidenciais como uma solução temporária até que uma correção seja fornecida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Cisco Unified Communications Manager (versões afetadas não especificadas) Versões do Cisco Unified Communications Manager IM & Presence Service (versões afetadas não especificadas) Versões do Cisco Unified Communications Manager Session Management Edition (versões afetadas não especificadas) Versões do Cisco Unity Connection (versões afetadas não especificadas) **Descrição** A interface de gerenciamento baseada na web dos produtos Cisco afetados não valida adequadamente as entradas fornecidas pelo usuário, permitindo que um invasor remoto não autenticado realize um ataque de cross-site scripting (XSS) contra um usuário da interface. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário da interface a clicar em um link malicioso, potencialmente executando código de script arbitrário no contexto da interface afetada ou acessando informações confidenciais do navegador. **Recomendações** Para o Cisco Unified Communications Manager, atualize para uma versão que valide adequadamente as entradas fornecidas pelo usuário para evitar ataques de cross-site scripting. Para o Cisco Unified Communications Manager IM & Presence Service, atualize para uma versão que valide adequadamente as entradas fornecidas pelo usuário para evitar ataques de cross-site scripting. Para o Cisco Unified Communications Manager Session Management Edition, atualize para uma versão que valide adequadamente as entradas fornecidas pelo usuário para evitar ataques de cross-site scripting. Para o Cisco Unity Connection, atualize para uma versão que valide adequadamente as entradas fornecidas pelo usuário para evitar

**Nome do software vulnerável e versões afetadas** Versões do Cisco Unified Communications Manager (versões afetadas não especificadas) Versões do Cisco Unified Communications Manager IM & Presence Service (versões afetadas não especificadas) Versões do Cisco Unified Communications Manager Session Management Edition (versões afetadas não especificadas) Versões do Cisco Unity Connection (versões afetadas não especificadas) **Descrição** A interface de gerenciamento baseada na web dos produtos Cisco afetados não valida adequadamente as entradas fornecidas pelo usuário, permitindo que um invasor remoto não autenticado realize um ataque de script entre sites (XSS) contra um usuário da interface. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário da interface a clicar em um link malicioso, potencialmente executando código de script arbitrário no contexto da interface afetada ou acessando informações confidenciais do navegador. **Recomendações** Para o Cisco Unified Communications Manager, atualize para uma versão que valide adequadamente as entradas fornecidas pelo usuário para evitar ataques XSS. Para o Cisco Unified Communications Manager IM & Presence Service, atualize para uma versão que valide adequadamente as entradas fornecidas pelo usuário para evitar ataques XSS. Para o Cisco Unified Communications Manager Session Management Edition, atualize para uma versão que valide adequadamente as entradas fornecidas pelo usuário para evitar ataques XSS. Para o Cisco Unity Connection, atualize para uma versão que valide adequadamente as entradas fornecidas pelo usuário para evitar ataques XSS. Como solução alternativa temporária, considere

**Nome do software vulnerável e versões afetadas: Microsoft Exchange Server (versões afetadas não especificadas) Descrição: Existe uma vulnerabilidade de falsificação de identidade no Microsoft Exchange Server, relacionada a erros na representação de informações pela interface do usuário. Isso poderia permitir que um invasor remoto realizasse ataques de falsificação de identidade, potencialmente se passando por um usuário. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi divulgado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Recomendações: Para prevenir esses tipos de ataques, baixe imagens embutidas de domínios DNS diferentes dos demais do OWA. Consulte as instruções adicionais na seção de perguntas frequentes (FAQ) para implementar essas medidas de mitigação. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** IBM Security Identity Governance and Intelligence versions 5.2.3.2 through 5.2.4 **Description** The issue allows a remote attacker to send specially-crafted SQL statements, potentially enabling the attacker to view information in the back-end database. This is achieved through SQL injection. **Recommendations** For versions 5.2.3.2 and 5.2.4, consider restricting access to the database to minimize the risk of exploitation until a patch is available.

**Name of the Vulnerable Software and Affected Versions** IBM Security Identity Governance and Intelligence versions 5.2.3.2 through 5.2.4 **Description** The issue is related to missing authentication in the survey application of IBM Security Identity Governance and Intelligence, which could allow an attacker to obtain sensitive information. **Recommendations** For versions 5.2.3.2 and 5.2.4, consider implementing additional authentication mechanisms for the survey application to prevent unauthorized access until a patch is available.