Vulnérabilité de scripting inter-site du service de messagerie instantanée et de présence du gestionnaire de communications unifiées Cisco

Une vulnérabilité dans l'interface web de Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) pourrait permettre à un attaquant non authentifié et distant de lancer une attaque de type cross-site scripting (XSS) contre un utilisateur authentifié de l'interface. Cette vulnérabilité existe car l'interface de gestion web ne valide pas correctement les entrées utilisateur. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur authentifié de cliquer sur un lien conçu à cette fin. Un exploit réussi pourrait permettre à l'attquant d'exécuter du code de script arbitraire dans le contexte de l'interface affectée ou d'accéder à des informations sensibles basées sur le navigateur. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui résolvent cette vulnérabilité. Ce conseil de sécurité est disponible à l'adresse suivante : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-imps-xss-quWkd9yF Évaluation de l'impact de sécurité : Moyen CVE : CVE-2024-20310