Security Lab

Раскрытие данных в Cisco Unified Communications Manager

Дата публикации:12.03.2009
Всего просмотров:2835
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Раскрытие важных данных
Повышение привилегий
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Cisco Unified CallManager 4.x
Cisco Unified CallManager 5.x
Cisco Unified Communications Manager 4.x
Cisco Unified Communications Manager 5.x
Cisco Unified Communications Manager 6.x
Cisco Unified Communications Manager 7.x
Уязвимые версии:
Cisco Unified CallManager 4.1
Cisco Unified Communications Manager версии до 4.2(3)SR4b
Cisco Unified Communications Manager версии до 4.3(2)SR1b
Cisco Unified Communications Manager версии до 5.1(3e)
Cisco Unified Communications Manager версии до 6.1(3)
Cisco Unified Communications Manager версии до 7.0(2)

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

Уязвимость существует из-за ошибки дизайна в функционале Cisco IP Phone Personal Address Book (PAB) Synchronizer, когда Cisco Unified Communications Manager возвращает аутентификационные данные пользователя для службы каталогов в открытом виде после успешной аутентификации клиента. Удаленный пользователь может получить доступ к службе каталогов и получить административные привилегии.

URL производителя: www.cisco.com

Решение: Установите последнюю с сайта производителя.

Ссылки: Cisco Security Advisory: Cisco Unified Communications Manager IP Phone Personal Address Book Synchronizer Privilege Escalation Vulnerability