Avaya 反射型跨站腳本(XSS)漏洞

時間:2019-8-12 分享到:
廠商Avaya 反射型跨站腳本(XSS)漏洞
產品Avaya IP Office聯絡中心
受影響的版本10.1.2.1及之前版本
測試版本10.1.2.1
漏洞發現日期2019-1-24
廠商通知日期2019-1-24
預警公告日期
廠商確認日期
廠商修復日期
公開披露日期
最新修正日期2019-1-24
CVE ID待生成
產品描述Avaya是一家美國跨國科技公司,總部位于加利福尼亞州,專門從事商業通信,特別是聯絡中心和通信服務。
發現者Tan Peng Fei Eddie, 安全研究員和滲透測試員 @wizlynx group

漏洞描述


? ? SQL注入漏洞
????嚴重程度:?中級????CVSS 分數: 6.1????CWE-ID: CWE-79????狀態: 未修復
????漏洞詳情
????在Avaya IP Office Contact Center上運行的Web應用程序(10.1.2.1以及先前版本)受到反射型跨站點腳本漏洞的影響。這些漏洞可能允許未經身份驗證的遠程攻擊者對受影響設備的Web客戶端界面的用戶進行反映的跨站點腳本(XSS)攻擊。該漏洞是由于受影響設備的基于Web的管理界面對用戶提供的輸入的驗證不充分。攻擊者可以通過偽裝界面用戶單擊精心制作的鏈接來利用此漏洞。成功利用可能允許攻擊者在接口上下文中執行任意腳本代碼,或允許攻擊者訪問敏感的基于瀏覽器的信息。
????CVSS基準分
????攻擊媒介????網絡????范圍? ? 變
????攻擊復雜度????低????保密性影響? ? 低
????所需特權? ? 無????一致性影響? ? 低
????用戶互動? ? 需要????可用性影響? ? 無

詳情


一旦廠商提供補丁,就會披露有關該漏洞的全面細節。

版權所有:http://www.aihulou.com 轉載請注明出處
? 凯时国际体育