CiscoのCallManagerにXSSとSQLインジェクションの脆弱性

悪用されると、不正なJavaScriptを実行されたりデータベースの情報が流出する恐れがある。

» 2007年08月30日 10時22分 公開
[ITmedia]

 米Cisco Systemsは8月29日、IP電話製品に組み込まれている通話処理コンポーネントUnified CallManager/Communications Manager(CUCM)の脆弱性修正パッチをリリースした。問題を悪用されるとクロスサイトスクリプティング(XSS)やSQLインジェクション攻撃を仕掛けられる可能性がある。

 Ciscoのアドバイザリーによれば、XSSの脆弱性を悪用されると、攻撃者が細工を施したURLをユーザーに閲覧させ、アカウント情報を盗んだり、クライアントシステムで不正なJavaScriptを実行することが可能になる。

 SQLインジェクションの脆弱性ではデータベースの値を読まれ、データベースに関する情報やユーザー情報、通話記録などの情報が流出する可能性がある。

 修正パッチはバージョンごとに、Ciscoのサイトからダウンロードできる。US-CERTでもパッチの適用を強く勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.