Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte
Systèmes affectés
- Cisco Unified Contact Center Express 5.x ;
- Cisco Unified Contact Center Express 6.x ;
- Cisco Unified Contact Center Express 7.x.
Résumé
Deux vulnérabilités présentes dans Cisco Unified Contact Center Express permettent à un utilisateur distant de porter atteinte à la confidentialité et à l'intégrité de certaines données ou de réaliser des attaques par injection de code indirecte.
Description
Deux vulnérabilités ont été identifiées dans Cisco Unified Contact Center Express :
- la première est relative au service Customer Responses Solutions et permet à un utilisateur distant de porter atteinte à la confidentialité ou à l'intégrité de certains fichiers du système ;
- la seconde concerne un manque de contrôle des entrées passées à la base de données de Cisco Unified Contact Center Express et permet à un utilisateur distant de réaliser des attaques de type injection de code indirecte.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20090715-uccx du 15 juillet 2009 : http://www.cisco.com/warp/public/707/cisco-sa-20090715-uccx.shtml
- Référence CVE CVE-2009-2047 https://www.cve.org/CVERecord?id=CVE-2009-2047
- Référence CVE CVE-2009-2048 https://www.cve.org/CVERecord?id=CVE-2009-2048
