L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Cisco Unified CM

vulnérabilité CVE-2017-12258

Cisco Unified Communications Manager : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Unified Communications Manager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Cisco CUCM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 05/10/2017.
Références : CERTFR-2017-AVI-333, cisco-sa-20171004-ucm, CSCve60993, CVE-2017-12258, VIGILANCE-VUL-24030.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Unified Communications Manager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-6791

Cisco Unified Communications Manager : déni de service via TVS

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via TVS de Cisco Unified Communications Manager, afin de mener un déni de service.
Produits concernés : Cisco CUCM.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 07/09/2017.
Références : cisco-sa-20170906-ucm, CSCux21905, CVE-2017-6791, VIGILANCE-VUL-23761.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via TVS de Cisco Unified Communications Manager, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-6785

Cisco Unified Communications Manager : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions de Cisco Unified Communications Manager, afin d'élever ses privilèges.
Produits concernés : Cisco CUCM.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Date création : 17/08/2017.
Références : CERTFR-2017-AVI-269, cisco-sa-20170816-ucm, CSCve27331, CVE-2017-6785, VIGILANCE-VUL-23551.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions de Cisco Unified Communications Manager, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-6758

Cisco Unified Communications Manager : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Cisco Unified Communications Manager, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Cisco CUCM.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 03/08/2017.
Références : cisco-sa-20170802-ucm1, CSCve13796, CVE-2017-6758, VIGILANCE-VUL-23446.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de Cisco Unified Communications Manager, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-6757

Cisco Unified Communications Manager : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de Cisco Unified Communications Manager, afin de lire ou modifier des données.
Produits concernés : Cisco CUCM.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 03/08/2017.
Références : cisco-sa-20170802-ucm, CSCve13786, CVE-2017-6757, VIGILANCE-VUL-23445.

Description de la vulnérabilité

Le produit Cisco Unified Communications Manager utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de Cisco Unified Communications Manager, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-6654

Cisco Unified Communications Manager : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Unified Communications Manager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Cisco CUCM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 18/05/2017.
Références : CERTFR-2017-AVI-160, cisco-sa-20170517-ucm, CSCvc06608, CVE-2017-6654, VIGILANCE-VUL-22761.

Description de la vulnérabilité

Le produit Cisco Unified Communications Manager dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Cisco Unified Communications Manager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-3808

Cisco Unified Communications Manager : déni de service via Session Initiation Protocol

Synthèse de la vulnérabilité

Un attaquant peut utiliser de nombreuses connexions Session Initiation Protocol vers Cisco Unified Communications Manager, afin de mener un déni de service.
Produits concernés : Cisco CUCM.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 20/04/2017.
Références : CERTFR-2017-AVI-127, cisco-sa-20170419-ucm, CVE-2017-3808, VIGILANCE-VUL-22507.

Description de la vulnérabilité

Le produit Cisco Unified Communications Manager dispose d'un service Session Initiation Protocol.

Cependant, la priorisation des flux est incorrecte.

Un attaquant peut donc utiliser de nombreuses connexions Session Initiation Protocol vers Cisco Unified Communications Manager, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-3888

Cisco Unified Communications Manager : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco Unified Communications Manager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Cisco CUCM.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/04/2017.
Références : cisco-sa-20170405-ucm1, CSCvc83712, CVE-2017-3888, VIGILANCE-VUL-22360.

Description de la vulnérabilité

Le produit Cisco Unified Communications Manager dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Cisco Unified Communications Manager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-3886

Cisco Unified Communications Manager : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de Cisco Unified Communications Manager, afin de lire ou modifier des données.
Produits concernés : Cisco CUCM.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 06/04/2017.
Références : cisco-sa-20170405-ucm, CSCvc74291, CVE-2017-3886, VIGILANCE-VUL-22359.

Description de la vulnérabilité

Le produit Cisco Unified Communications Manager utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de Cisco Unified Communications Manager, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-5638

Apache Struts : exécution de code via Jakarta Multipart CD/CL

Synthèse de la vulnérabilité

Un attaquant peut employer un entête Content-Disposition/Content-Length malveillant sur Apache Struts avec Jakarta Multipart installé, afin d'exécuter du code.
Produits concernés : Struts, Cisco CUCM, Cisco Unified CCX, Avamar, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle OIT, Tuxedo, WebLogic, Percona Server, XtraDB Cluster.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 20/03/2017.
Références : 498123, CERTFR-2017-ALE-004, cisco-sa-20170310-struts2, cpuapr2017, cpujul2017, CVE-2017-5638, ESA-2017-042, S2-045, S2-046, VIGILANCE-VUL-22190.

Description de la vulnérabilité

Le produit Apache Struts peut être configuré pour utiliser l'analyseur Multipart de Jakarta.

L'entête HTTP Content-Type peut contenir le type MIME multipart/form-data pour représenter les données de formulaires. Dans ce cas, l'analyseur Multipart de Jakarta est appelé.

Lorsque l'analyseur Multipart de Jakarta est utilisé, et lorsque l'entête Content-Disposition ou Content-Length contient une valeur malformée, une exception se produit, et le contenu de l'entête est interprété lors de l'affichage.

Un attaquant peut donc employer un entête Content-Disposition/Content-Length malveillant sur Apache Struts avec Jakarta Multipart installé, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Cisco Unified CM :