Vendor Status Note JVNCIAC-R-336

Cisco 製品に SQL インジェクションおよびクロスサイトスクリプティングの脆弱性

概要

Cisco の CallManager および Unified Communications Manager のログオンページには、SQL インジェクションおよびクロスサイトスクリプティングの脆弱性があります。

影響を受けるシステム
 - CallManager および Unified Communications Manager の以下のバージョン
  - 3.3(5)sr2b 以前
  - 4.1(3)sr5 以前
  - 4.2(3)sr2 以前
  - 4.3(1)sr1 以前

想定される影響

遠隔の第三者が機密情報を取得したり、細工した HTML 文書をユーザに閲覧させることで、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性があります。

ベンダ情報

ベンダリンク更新日
シスコシステムズAdvisory ID: cisco-sa-20070829-ccm
Cisco Security Advisory: XSS and SQL Injection in Cisco CallManager/Unified Communications Manager Logon Page
参考情報

JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2007-3401 ( 2007-09-05 )
CIAC BulletinR-336 XSS and SQL Injection in Cisco CallManager/Unified Communications Manager Logon Page Vulnerabilities ( 2007-08-30 )
CVE
PGP署名JVNCIAC-R-336.html.sig
登録日20:19 2007/09/07
更新日20:19 2007/09/07

Copyright(C) 2002-2009 Keio Univ. All rights reserved.