Risque

  • Atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données ;
  • injection de code indirecte.

Systèmes affectés

  • Cisco Unified Contact Center Express 5.x ;
  • Cisco Unified Contact Center Express 6.x ;
  • Cisco Unified Contact Center Express 7.x.

Résumé

Deux vulnérabilités présentes dans Cisco Unified Contact Center Express permettent à un utilisateur distant de porter atteinte à la confidentialité et à l'intégrité de certaines données ou de réaliser des attaques par injection de code indirecte.

Description

Deux vulnérabilités ont été identifiées dans Cisco Unified Contact Center Express :

  • la première est relative au service Customer Responses Solutions et permet à un utilisateur distant de porter atteinte à la confidentialité ou à l'intégrité de certains fichiers du système ;
  • la seconde concerne un manque de contrôle des entrées passées à la base de données de Cisco Unified Contact Center Express et permet à un utilisateur distant de réaliser des attaques de type injection de code indirecte.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation