漏洞标题
N/A
漏洞描述信息
Cisco TelePresence System MXP Series F9.1 和更早版本中的跨站脚本(XSS)漏洞允许远程授权用户通过精心构造的会话ID来注入任意的 web 脚本或 HTML,如图1所示。这被证明是通过改变密码或导致拒绝服务(DDoS)攻击的跨站请求伪造(CSRF)攻击,攻击者使用了名为 bug ID CSCtq46488 的漏洞。
图1:通过构造的会话ID注入任意的 web 脚本或 HTML
注意:本翻译仅作为参考,不代表 Cisco TelePresence System MXP Series F9.1 和更早版本中的所有漏洞都适用。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site scripting (XSS) vulnerability in the web interface in Cisco TelePresence System MXP Series F9.1 and earlier allows remote authenticated users to inject arbitrary web script or HTML via a crafted Call ID, as demonstrated by resultant cross-site request forgery (CSRF) attacks that change passwords or cause a denial of service, aka Bug ID CSCtq46488.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Cisco TelePresence Endpoint HTML注入漏洞
漏洞描述信息
Cisco TelePresence是美国思科(Cisco)公司的一套被称为“网真”系统的视频会议解决方案。该方案提供音频、视频空间等组件,可为远程参会者提供一个“面对面”的虚拟会议室效果。Cisco TelePresence Endpoint是其中的终端服务。 由于H.323 ID或SIP Display Name字段的灵活性以及无法正确验证用户输入,Cisco TelePresence Endpoint在实现上存在HTML注入漏洞,远程攻击者可利用HTML注入漏洞在受影响浏览器中执行任意脚本代码,窃取
CVSS信息
N/A
漏洞类别
跨站脚本