悪用されると、不正なJavaScriptを実行されたりデータベースの情報が流出する恐れがある。
米Cisco Systemsは8月29日、IP電話製品に組み込まれている通話処理コンポーネントUnified CallManager/Communications Manager(CUCM)の脆弱性修正パッチをリリースした。問題を悪用されるとクロスサイトスクリプティング(XSS)やSQLインジェクション攻撃を仕掛けられる可能性がある。
Ciscoのアドバイザリーによれば、XSSの脆弱性を悪用されると、攻撃者が細工を施したURLをユーザーに閲覧させ、アカウント情報を盗んだり、クライアントシステムで不正なJavaScriptを実行することが可能になる。
SQLインジェクションの脆弱性ではデータベースの値を読まれ、データベースに関する情報やユーザー情報、通話記録などの情報が流出する可能性がある。
修正パッチはバージョンごとに、Ciscoのサイトからダウンロードできる。US-CERTでもパッチの適用を強く勧告している。
Copyright © ITmedia, Inc. All Rights Reserved.