关键漏洞信息 漏洞ID: cisco-sa-20180207-ucm CVE编号: CVE-2018-0135 CWE编号: CWE-20 风险等级: Medium 首次发布日期: 2018年2月7日 16:00 GMT 版本: 1.0 Cisco Bug ID: CSCvf17644 CVSS评分: 基础评分4.3 漏洞概述 摘要: Cisco Unified Communications Manager存在一个漏洞,允许经过身份验证的远程攻击者访问受影响系统上的敏感信息。 原因: 受影响的软件对用户提供的搜索输入进行了不当验证。 攻击方式: 攻击者可以通过向受影响系统发送恶意请求来利用此漏洞,成功利用后可检索受影响系统上的敏感信息。 绕过措施: 暂无针对此漏洞的绕过措施。 受影响产品 易受攻击的产品: 此漏洞影响Cisco Unified Communications Manager。有关受影响软件发布的具体信息,请参阅本公告顶部的Cisco Bug ID。 已确认不受影响的产品: 目前没有其他Cisco产品被认为受到此漏洞的影响。 固定软件 固定软件: 有关固定软件发布的具体信息,请参阅本公告顶部的Cisco Bug ID。 升级建议: 客户被建议定期查阅 Cisco产品安全公告和警报页面,以确定暴露情况和完整的升级解决方案。 硬件和软件配置: 客户应确保要升级的设备具有足够的内存,并确认当前的硬件和软件配置将继续获得新发布的支持。如果有不清楚的地方,建议客户联系Cisco技术支持中心(TAC)或其签约维护提供商。 利用和公开声明 利用情况: Cisco产品安全事件响应团队(PSIRT)目前没有发现任何有关此顾问中描述的漏洞的公开公告或恶意使用的迹象。 漏洞来源 来源: 此漏洞是在内部安全测试期间发现的。 历史修订 版本: 1.0 描述: 初始公开发布 部分: / 状态: 最终 日期: 2018年2月7日