Уязвимость межсайтового скриптинга в Cisco Enterprise Chat и Email

Уязвимость в веб-интерфейсе Cisco Enterprise Chat and Email (ECE) может позволить аутентифицированному удаленному злоумышленнику провести атаку межсайтового скриптинга (XSS) против пользователя интерфейса. Эта уязвимость существует потому, что веб-интерфейс не должным образом проверяет вводимые пользователем данные. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя интерфейса кликнуть на специально созданную ссылку. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код скрипта в контексте затронутого интерфейса или получить доступ к чувствительной информации, хранящейся в браузере. Чтобы успешно воспользоваться этой уязвимостью, злоумышленнику потребуются действительные учетные данные агента. Cisco выпустила обновления программного обеспечения, которые устраняют эту уязвимость. Нет обходных путей, которые устраняют эту уязвимость. Это уведомление доступно по следующей ссылке: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ece-xss-CSQxgxfM Оценка степени риска безопасности: Средняя CVE: CVE-2024-20367