Cisco · Cisco Unified Communications Manager Im & Presence Service · CVE-2021-1355
**Nome do software vulnerável e versões afetadas**
Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) (versões afetadas não especificadas)
Cisco Unified Communications Manager (Unified CM) (versões afetadas não especificadas)
Cisco Unified Communications Manager Session Management Edition (Unified CM SME) (versões afetadas não especificadas)
**Descrição**
O problema está relacionado a várias vulnerabilidades, incluindo ataques de traversal de caminho e injeção de SQL, no Cisco Unified Communications Manager IM & Presence Service. Uma das vulnerabilidades de injeção de SQL também afeta o Cisco Unified Communications Manager e o Cisco Unified Communications Manager Session Management Edition. A vulnerabilidade está associada a erros de validação de entrada na interface web, o que poderia permitir que um invasor remoto executasse consultas SQL arbitrárias.
**Recomendações**
Para o Serviço de Mensagens Instantâneas e Presença do Cisco Unified Communications Manager, considere restringir o acesso ao banco de dados SQL para minimizar o risco de exploração.
Para o Cisco Unified Communications Manager, restrinja o acesso ao endpoint vulnerável à injeção de SQL até que um patch esteja disponível.
Para o Cisco Unified Communications Manager Session Management Edition, evite usar a função de consulta SQL vulnerável até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.