CiscoのCallManagerにXSSとSQLインジェクションの脆弱性

悪用されると、不正なJavaScriptを実行されたりデータベースの情報が流出する恐れがある。

[ITmedia]

　米Cisco Systemsは8月29日、IP電話製品に組み込まれている通話処理コンポーネントUnified CallManager／Communications Manager（CUCM）の脆弱性修正パッチをリリースした。問題を悪用されるとクロスサイトスクリプティング（XSS）やSQLインジェクション攻撃を仕掛けられる可能性がある。

　Ciscoのアドバイザリーによれば、XSSの脆弱性を悪用されると、攻撃者が細工を施したURLをユーザーに閲覧させ、アカウント情報を盗んだり、クライアントシステムで不正なJavaScriptを実行することが可能になる。

　SQLインジェクションの脆弱性ではデータベースの値を読まれ、データベースに関する情報やユーザー情報、通話記録などの情報が流出する可能性がある。

　修正パッチはバージョンごとに、Ciscoのサイトからダウンロードできる。US-CERTでもパッチの適用を強く勧告している。