一、 漏洞 CVE-2020-3532 基础信息
漏洞标题
思科统一通信产品跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在Cisco统一通信管理器、Cisco统一通信管理会话管理版、Cisco统一通信管理即时消息及存在服务以及Cisco Unity Connection的基于Web的管理界面中存在一个漏洞,该漏洞可能导致未经身份验证的远程攻击者对界面用户发起跨站脚本(XSS)攻击。
此漏洞存在的原因是基于Web的管理界面未能正确验证用户提供的输入。攻击者可能通过诱使界面用户点击特制的链接来利用此漏洞。成功利用此漏洞可能导致攻击者在受影响的界面中执行任意脚本代码或访问敏感的基于浏览器的信息。目前尚无解决此漏洞的变通方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Cisco Unified Communications Products Cross-Site Scripting Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the web-based management interface of Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition, Cisco Unified Communications Manager IM & Presence Service, and Cisco Unity Connection could allow an unauthenticated, remote attacker to conduct a cross-site scripting (XSS) attack against a user of the interface.
The vulnerability exists because the web-based management interface does not properly validate user-supplied input. An attacker could exploit this vulnerability by persuading a user of the interface to click a crafted link. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or access sensitive browser-based information.There are no workarounds that address this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
多款Cisco产品跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco Unity Connection(UC)等都是美国思科(Cisco)公司的产品。Cisco Unity Connection是一套语音留言平台。Cisco Unified Communications Manager(CUCM,Unified CM,CallManager)是一款统一通信系统中的呼叫处理组件。Unified Communications Manager Session Management Edition(CM SME)是Unified Communications Manag
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-3532 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
