Cisco Unified Communications Manager 12.0(0.99999.2) Web Framework Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.9 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in Cisco Unified Communications Manager 12.0(0.99999.2) (Unified Communication Software) entdeckt. Sie wurde als problematisch eingestuft. Hiervon betroffen ist eine unbekannte Funktionalität der Komponente Web Framework. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Auswirken tut sich dies auf die Integrität. Die Zusammenfassung von CVE lautet:
A vulnerability in the web framework of Cisco Unified Communications Manager could allow an unauthenticated, remote attacker to conduct a cross-site scripting (XSS) attack against a user of the web interface of the affected software. More Information: CSCvb95951. Known Affected Releases: 12.0(0.99999.2). Known Fixed Releases: 11.0(1.23064.1) 11.5(1.12031.1) 11.5(1.12900.21) 11.5(1.12900.7) 11.5(1.12900.8) 11.6(1.10000.4) 12.0(0.98000.155) 12.0(0.98000.178) 12.0(0.98000.366) 12.0(0.98000.367) 12.0(0.98000.468) 12.0(0.98000.469) 12.0(0.98000.536) 12.0(0.98000.6) 12.0(0.98500.6).Die Entdeckung des Problems geschah am 15.02.2017. Die Schwachstelle wurde am 22.02.2017 von Cisco als cisco-sa-20170215-ucm in Form eines bestätigten Advisories (Website) publiziert. Das Advisory findet sich auf tools.cisco.com. Die Identifikation der Schwachstelle wird seit dem 21.12.2016 mit CVE-2017-3833 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059.007 bezeichnet.
Vor einer Veröffentlichung handelte es sich 6 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 11.0(1.23064.1), 11.5(1.12031.1), 11.5(1.12900.21), 11.5(1.12900.7), 11.5(1.12900.8), 11.6(1.10000.4), 12.0(0.98000.155), 12.0(0.98000.178), 12.0(0.98000.366), 12.0(0.98000.367), 12.0(0.98000.468), 12.0(0.98000.469), 12.0(0.98000.536), 12.0(0.98000.6) oder 12.0(0.98500.6) vermag dieses Problem zu lösen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.2VulDB Meta Temp Score: 5.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 103403
OpenVAS Name: Cisco Unified Communications Manager Web Interface Cross-Site Scripting Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Unified Communications Manager 11.0(1.23064.1)/11.5(1.12031.1)/11.5(1.12900.21)/11.5(1.12900.7)/11.5(1.12900.8)/11.6(1.10000.4)/12.0(0.98000.155)/12.0(0.98000.178)/12.0(0.98000.366)/12.0(0.98000.367)/12.0(0.98000.468)/12.0(0.98000.469)/12.0(0.98000.536)/12.0(0.98000.6)/12.0(0.98500.6)
Timeline
21.12.2016 🔍15.02.2017 🔍
15.02.2017 🔍
21.02.2017 🔍
22.02.2017 🔍
22.02.2017 🔍
16.08.2020 🔍
Quellen
Hersteller: cisco.comAdvisory: cisco-sa-20170215-ucm
Firma: Cisco
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2017-3833 (🔍)
SecurityFocus: 96246 - Cisco Unified Communications Manager CVE-2017-3833 Cross Site Scripting Vulnerability
OSVDB: - CVE-2017-3833 - Cisco - Unified Communications Manager - Cross-Site Scripting Issue
Eintrag
Erstellt: 22.02.2017 12:00Aktualisierung: 16.08.2020 12:24
Anpassungen: 22.02.2017 12:00 (68), 16.08.2020 12:24 (6)
Komplett: 🔍
Cache ID: 18:686:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.