Cisco Enterprise Chat および Email のクロスサイトスクリプティング脆弱性

Cisco Enterprise Chat and Email (ECE) の Web UI において、認証されたリモートアタッカーがインターフェースのユーザーに対してクロスサイトスクリプティング (XSS) 攻撃を実行する可能性がある脆弱性が存在します。 この脆弱性は、Web UI がユーザーが提供する入力を適切に検証しないことが原因です。アタッカーは、この脆弱性を悪用するために、インターフェースのユーザーを騙し、作成されたリンクをクリックさせることができます。成功した攻撃では、アタッカーが影響を受けるインターフェースのコンテキストで任意のスクリプトコードを実行するか、ブラウザーに基づく機密情報にアクセスすることができます。この脆弱性を成功裏に悪用するには、有効なエージェント資格情報が必要です。 Cisco は、この脆弱性を解決するソフトウェア更新をリリースしました。この脆弱性に対処するワークアラウンドはありません。 このアドバイザリーは、次のリンクで入手できます：https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ece-xss-CSQxgxfM セキュリティ影響レーティング：中 CVE：CVE-2024-20367