Множественные уязвимости в Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) могут позволить злоумышленнику пров…
Множественные уязвимости в Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) могут позволить злоумышленнику проводить атаки с обходом пути и SQL-инъекции в уязвимой системе. Одна из уязвимостей SQL-инъекции, которая затрагивает Unified CM IM&P, также затрагивает Cisco Unified Communications Manager (Unified CM) и Cisco Unified Communications Manager Session Management Edition (Unified CM SME) и может позволить злоумышленнику проводить атаки SQL-инъекции в уязвимой системе. Для получения дополнительной информации об этих уязвимостях см. раздел «Подробности» данного бюллетеня.
Продукт использует внешние входные данные для формирования пути, который должен находиться внутри ограниченного каталога, однако не нейтрализует должным образом последовательности '.../...//' (удвоенные тройные точки с косой чертой), способные разрешиться в местоположение за пределами этого каталога.
https://cwe.mitre.org/data/definitions/35.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| unified_communications_manager | * | Отслеживается |
| unified_communications_manager_im_and_presence_service | * | Отслеживается |