漏洞起因
输入验证错误
危险等级
低
影响系统
Cisco Unified Videoconferencing 5230 System
Cisco Unified Videoconferencing 5115 System
Cisco Unified Videoconferencing 5110 System
Cisco Unified Videoconferencing 3545 System
Cisco Unified Videoconferencing 3527 Primary Rate Interface (PRI) Gateway
Cisco Unified Videoconferencing 3522 Basic Rate Interfaces (BRI) Gateway
Cisco Unified Videoconferencing 3515 Multipoint Control Unit (MCU)
不受影响系统
危害
远程攻击者可以利用漏洞获得密码信息。
攻击所需条件
攻击者必须访问Cisco Unified Videoconferencing。
漏洞信息
Cisco Unified Videoconferencing是思科统一通信系统的一个组成部分,适用于需要一个可靠、便于管理、经济有效的网络基础设施,来进行视频会议应用部署的机构和电信运营商。
/goform/websXMLAdminRequestCgi.cgi脚本受远程SHELL命令注入漏洞(POST验证)影响。脚本对多个参数缺少正确过滤,包括但不限制在"username"字段。很明显,WEB服务以ROOT权限运行,可导致攻击者完全控制设备。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.cisco.com/en/US/products/hw/video/ps1870/index.html
漏洞提供者
Florent Daignier
0 条评论。