Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
Systèmes affectés
- Cisco Customer Response Solution (CRS) 5.x, 6.x et 7.x ;
- Cisco UCCX 5.x, 6.x et 7.x ;
- Cisco Unified IP Interactive Voice Response (Cisco Unified IP IVR) 5.x, 6.x et 7.x.
Résumé
Deux vulnérabilités découvertes dans Cisco Unified Contact Center Express permettent à un utilisateur distant de provoquer un déni de service ou de porter atteinte à la confidentialité des données.
Description
Une vulnérabilité causée par une erreur de traitement dans le composant Computer Telephony Integration peut être exploitée afin de provoquer un déni de service au moyen d'un message spécialement formé (CVE-2010-1570).
Une vulnérabilité de type ``traversée d'arborescence de répertoires'' dans le service bootstrap de Cisco UCCX permet à un utilisateur distant malintentionné de porter atteinte à la confidentialité des données (CVE-2010-1571).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20100609-uccx du 09 juin 2010 http://www.cisco.com/warp/public/707/cisco-sa-20100609-uccx.shtml
- Référence CVE CVE-2010-1570 https://www.cve.org/CVERecord?id=CVE-2010-1570
- Référence CVE CVE-2010-1571 https://www.cve.org/CVERecord?id=CVE-2010-1571
