Vigil@nce - Cisco Unity Express : Cross Site Request Forgery
février 2013 par Marc Jacob
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer plusieurs Cross Site Request Forgery
sur Cisco Unity Express, afin d’effectuer des opérations dans le
contexte du site web.
Produits concernés : Cisco Unity
Gravité : 2/4
Date création : 04/02/2013
Date révision : 05/02/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Unity Express utilise un site web.
Cependant, la page /Web/SA/SaveConfiguration.do accepte des
requêtes provenant d’un autre site. La commande "RELOAD" permet
ainsi de redémarrer le produit.
Un attaquant peut donc provoquer plusieurs Cross Site Request
Forgery sur Cisco Unity Express, afin d’effectuer des opérations
dans le contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-Unity-Express-Cross-Site-Request-Forgery-12371