1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2007-025 Cisco CallManager and Unified Communications Manager - XSS e inyección SQL

Cisco CallManager y Unified Communications Manager son vulnerables a ataques de Cross-Site Scripting (XSS) e inyección de SQL, en la variable lang de las paginas de ingreso del administrador y usuarios.

  • Fecha de Liberación: 29-Ago-2007
  • Ultima Revisión: 30-Ago-2007
  • Fuente: Cisco Security Advisory
  • Riesgo Moderado
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

CallManager and Unified Communications Manager < 3.3(5)sr2b
CallManager and Unified Communications Manager < 4.1(3)sr5
CallManager and Unified Communications Manager < 4.2(3)sr2
CallManager and Unified Communications Manager < 4.3(1)sr1

Sistemas No Afectados

CallManager and Unified Communications Manager == 3.3(5)sr2b
CallManager and Unified Communications Manager == 4.1(3)sr5
CallManager and Unified Communications Manager == 4.2(3)sr2
CallManager and Unified Communications Manager == 4.3(1)sr1
  1. Descripción

    Cisco Unified CallManager (CUCM) es el componente de procesamiento de solución de telefonía IP Cisco, la cual extiende las caracteristicas de la telefonía enterprise y funciones a dispositivos de paquetes de telefonía de red como teléfonos IP, gateways de voz sobre IP (VoIP), y aplicaciones multimedia.

    Las vulnerabilidades de Cross-Site Scripting e inyección de SQL, son disparadas cuando es ingresado cierto valor en la variable lang, tanto de las paginas de ingreso del administrador como de los usuarios. Los ataques a estas vulnerabilidades se llevan a cabo mediante una interfaz web usando los protocolos http o https. En el caso de la vulnerabilidad XSS, el valor malicioso incluye codigo entre las etiquetas y . En el caso de la vulnerabilidad de inyección de SQL, el valor temina la llamada a SQL y completa una llamada back-end a la base de datos.

  2. Impacto

    Un atacante puede explotar la vulnerabilidad de XSS para robar las credenciales o ejecutar código JavaScript no autorizado en el sistema del cliente.

    Un atacante puedo explotar la vulnerabilidad de inyección de SQL para leer un valor de la base de datos. Muchos ataques exitosos pueden revelar información sobre la base de datos, información como nombres de usuario y contraseñas. La vulnerbilidad no puede ser usada para alterar o eliminar información de los registros de la base de datos.

  3. Solución

    Se han liberado versiones que eliminan estas vulnerabilidades.

    Se recomienda actualizar a la última version disponible.

  4. Referencias

    http://www.cisco.com/warp/public/707/cisco-sa-20070829-ccm.shtml

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)
  • Vicente Hernández Jiménez (bec_vhernandez at correo dot seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT