7.1высокая
BDU:2019-04117 (CVE-2019-1915)
Уязвимость веб-интерфейса управления систем обработки вызовов Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition (SME), Cisco Unified Communications Manager IM and Presence (Unified CM IM&P) Service и интегрированной системы обмена сообщениями Cisco Unity Connection, позволяющая нарушителю отправлять произвольные запросы
Опубликовано: 2019-11-19
Описание
Уязвимость веб-интерфейса управления систем обработки вызовов Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition (SME), Cisco Unified Communications Manager IM and Presence (Unified CM IM&P) Service и интегрированной системы обмена сообщениями Cisco Unity Connection связана с отсутствием защиты от межсайтовой подмены запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправлять произвольные запросы в результате перехода пользователя по специально созданной ссылки
Затрагиваемое ПО и версии
Cisco Unified Communications Manager (от 10.5(2) до 10.5(2)SU9)Cisco Unified Communications Manager (от 11.0 до 11.5(1)SU6)Cisco Unified Communications Manager (от 11.5 до 11.5(1)SU6)Cisco Unified Communications Manager (от 12.0 до 12.0(1)SU3)Cisco Unified Communications Manager (от 12.5 до 12.5(1)SU1)Unified Communications Manager IM and Presence Service (от 10.5(2) до 10.5(2) ES)Unified Communications Manager IM and Presence Service (от 11.0 до 11.5(1)SU6)Unified Communications Manager IM and Presence Service (от 11.5 до 11.5(1)SU6)Unified Communications Manager IM and Presence Service (от 12.0 до 12.5(1)SU1)Unified Communications Manager IM and Presence Service (от 12.5 до 12.5(1)SU1)Cisco Unified Communications Manager SME (от 10.5(2) до 10.5(2)SU9)Cisco Unified Communications Manager SME (от 11.0 до 11.5(1)SU6)Cisco Unified Communications Manager SME (от 11.5 до 11.5(1)SU6)Cisco Unified Communications Manager SME (от 12.0 до 12.0(1)SU3)Cisco Unified Communications Manager SME (от 12.5 до 12.5(1)SU1)Unity Connection (от 10.5(2) до 10.5(2)SU9)Unity Connection (от 11.0 до 11.5(1)SU6)Unity Connection (от 11.5 до 11.5(1)SU6)Unity Connection (от 12.0 до 12.0(1)SU3)Unity Connection (от 12.5 до 12.5(1)SU1)
Способ устранения
Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-cucm-csrf
Оценка CVSS
| Балл | 7.1 — высокая опасность |
Источники и патчи