Vigil@nce - Cisco Unified Communications Manager, Contact Center Express : lecture de fichiers
novembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant distant non authentifié peut employer l’interface web
de Cisco Unified Communications Manager et Cisco Unified Contact
Center Express, afin de lire un fichier du système.
Gravité : 2/4
Date création : 27/10/2011
Date révision : 08/11/2011
PRODUITS CONCERNÉS
– Cisco Unified Communications Manager
– Cisco Unified Contact Center Express
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Unified Communications Manager propose une
interface web, accessible sur le port 8080/tcp. Le produit Cisco
Unified Contact Center Express propose une interface web,
accessible sur les ports 8080/tcp et 9080/tcp.
Cependant, ces sites web ne filtrent pas correctement les requêtes
de la forme "../../", ce qui permet à un attaquant de parcourir
l’arborescence, afin de lire un fichier situé hors du répertoire
du produit.
Un attaquant distant non authentifié peut donc employer
l’interface web de Cisco Unified Communications Manager et Cisco
Unified Contact Center Express, afin de lire un fichier du système.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET