6.4средняя
BDU:2019-04132 (CVE-2019-12711)
Уязвимость веб-интерфейса управления систем управления IP-телефонией Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
Опубликовано: 2019-11-19
Описание
Уязвимость веб-интерфейса управления систем управления IP-телефонией Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME) связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Cisco Unified Communications Manager (до 10.5(2) включительно)Cisco Unified Communications Manager (до 11.5(1)SU5 включительно)Cisco Unified Communications Manager (до 12.0(1)SU2 включительно)Cisco Unified Communications Manager (до 12.5(1) включительно)Cisco Unified Communications Manager SME (до 10.5(2) включительно)Cisco Unified Communications Manager SME (до 11.5(1)SU5 включительно)Cisco Unified Communications Manager SME (до 12.0(1)SU2 включительно)Cisco Unified Communications Manager SME (до 12.5(1) включительно)
Способ устранения
Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-cucm-xxe
Оценка CVSS
| Балл | 6.4 — средняя опасность |
Источники и патчи