CVE-2021-1380

Versões do Cisco Unified Communications Manager (versões afetadas não especificadas)

Versões do Cisco Unified Communications Manager IM & Presence Service (versões afetadas não especificadas)

Versões do Cisco Unified Communications Manager Session Management Edition (versões afetadas não especificadas)

Versões do Cisco Unity Connection (versões afetadas não especificadas)

A interface de gerenciamento baseada na web dos produtos Cisco afetados não valida adequadamente as entradas fornecidas pelo usuário, permitindo que um invasor remoto não autenticado realize um ataque de script entre sites (XSS) contra um usuário da interface. Um invasor poderia explorar essa vulnerabilidade persuadindo um usuário da interface a clicar em um link malicioso, executando potencialmente código de script arbitrário no contexto da interface afetada ou acessando informações confidenciais do navegador.

Para o Cisco Unified Communications Manager, atualize para uma versão que valide corretamente as entradas fornecidas pelo usuário.

Para o Cisco Unified Communications Manager IM & Presence Service, atualize para uma versão que valide corretamente as entradas fornecidas pelo usuário.

Para o Cisco Unified Communications Manager Session Management Edition, atualize para uma versão que valide corretamente as entradas fornecidas pelo usuário.

Para o Cisco Unity Connection, atualize para uma versão que valide corretamente as entradas fornecidas pelo usuário.

Como solução alternativa temporária, considere restringir o acesso à interface de gerenciamento baseada na web para minimizar o risco de exploração