Множественные уязвимости в Cisco Unified Operations Manager

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "CCMs" в сценарии iptm/PRTestCreation.do, а также в параметре "ccm" в сценарии iptm/TelePresenceReportAction.do. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

2. Уязвимость существует из-за недостаточной обработки входных данных в нескольких параметрах в нескольких сценариях. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

http://[host]/iptm/advancedfind.do?extn=[code]
http://[host]/iptm/ddv.do?deviceCapability=deviceCap&deviceInstanceName=[code]
http://[host]/iptm/eventmon?viewname=device.filter&operation=getFilter&cmd=[code]
http://[host]/iptm/eventmon?cmd=getDeviceData&group=[code]
http://[host]/iptm/faultmon/ui/dojo/Main/eventmon_wrapper.jsp?clusterName=[code]
http://[host]/iptm/faultmon/ui/dojo/Main/eventmon_wrapper.jsp?deviceName=[code]
http://[host]/iptm/logicalTopo.do?ccmName=[code]
http://[host]/iptm/logicalTopo.do?clusterName=[code]

URL производителя: http://www.cisco.com/en/US/products/ps6535/index.html

Решение: Установите последнюю версию 8.6 с сайта производителя.