Cisco Finesse 11.6(1) ES11 i starsze Cisco Finesse 12.6(2) ES01 i starsze
Numer CVE
CVE-2024-20404
Krytyczność
7.2/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Opis
Luka w internetowym interfejsie zarządzania Cisco Finesse może umożliwić nieuwierzytelnionemu zdalnemu atakującemu przeprowadzenie ataku SSRF na zagrożony system. Przyczyną tej luki jest niewystarczająca weryfikacja danych wejściowych wprowadzonych przez użytkownika w przypadku określonych żądań HTTP wysyłanych do systemu, którego dotyczy luka. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądanie HTTP do urządzenia, którego dotyczy luka. Udany exploit może umożliwić osobie atakującej uzyskanie ograniczonej liczby poufnych informacji na temat usług powiązanych z zaatakowanym urządzeniem.
Numer CVE
CVE-2024-20405
Krytyczność
4.8/10
CVSS
AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
Opis
Luka w internetowym interfejsie zarządzania Cisco Finesse może pozwolić nieuwierzytelnionemu zdalnemu atakującemu na przeprowadzenie zapisanego ataku XSS poprzez wykorzystanie luki w zabezpieczeniach RFI. Przyczyną tej luki jest niewystarczająca weryfikacja danych wejściowych wprowadzonych przez użytkownika w przypadku określonych żądań HTTP wysyłanych do urządzenia, którego dotyczy luka. Osoba atakująca może wykorzystać tę lukę, namawiając użytkownika do kliknięcia spreparowanego łącza. Udany exploit może umożliwić osobie atakującej wykonanie dowolnego kodu skryptu w kontekście interfejsu, którego dotyczy luka, lub uzyskanie dostępu do poufnych informacji na zaatakowanym urządzeniu.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny