PT-2021-1883 · Cisco · Cisco Unified Communications Manager Im & Presence Service+2
Mostafa Soliman
·
Publicado
2021-01-20
·
Atualizado
2021-01-29
·
CVE-2021-1355
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) (versões afetadas não especificadas)
Cisco Unified Communications Manager (Unified CM) (versões afetadas não especificadas)
Cisco Unified Communications Manager Session Management Edition (Unified CM SME) (versões afetadas não especificadas)
Descrição
O problema está relacionado a várias vulnerabilidades, incluindo ataques de traversal de caminho e injeção de SQL, no Cisco Unified Communications Manager IM & Presence Service. Uma das vulnerabilidades de injeção de SQL também afeta o Cisco Unified Communications Manager e o Cisco Unified Communications Manager Session Management Edition. A vulnerabilidade está associada a erros de validação de entrada na interface web, o que poderia permitir que um invasor remoto executasse consultas SQL arbitrárias.
Recomendações
Para o Serviço de Mensagens Instantâneas e Presença do Cisco Unified Communications Manager, considere restringir o acesso ao banco de dados SQL para minimizar o risco de exploração.
Para o Cisco Unified Communications Manager, restrinja o acesso ao endpoint vulnerável à injeção de SQL até que um patch esteja disponível.
Para o Cisco Unified Communications Manager Session Management Edition, evite usar a função de consulta SQL vulnerável até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Unified Communications Manager
Cisco Unified Communications Manager Im & Presence Service
Cisco Unified Communications Manager Session Management Edition