Vulnérabilité de scriptage inter-site dans Cisco Enterprise Chat et Email

Une vulnérabilité dans l'interface web de Cisco Enterprise Chat and Email (ECE) pourrait permettre à un attaquant distant authentifié de mener une attaque de type cross-site scripting (XSS) contre un utilisateur de l'interface. Cette vulnérabilité existe car l'interface web ne valide pas correctement les entrées utilisateur. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l'interface de cliquer sur un lien conçu. Un exploit réussi pourrait permettre à l'attaquant d'exécuter du code de script arbitraire dans le contexte de l'interface affectée ou d'accéder à des informations sensibles basées sur le navigateur. Pour exploiter avec succès cette vulnérabilité, un attaquant aurait besoin de credentiels d'agent valides. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui traitent de cette vulnérabilité. Ce conseil de sécurité est disponible au lien suivant : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ece-xss-CSQxgxfM Évaluation de l'impact de sécurité : Moyen CVE : CVE-2024-20367