云安全日报210518：思科统一通信解决方案发现跨

Cisco Unified Contact Center Express（Unified CCX）是思科（Cisco）公司的一款统一通信解决方案中的客户关系管理组件。该组件支持自助语音服务、呼叫分配和客户访问控制等功能。Cisco Unified Intelligence Center是思科（Cisco）公司的一套基于Web的报表平台。该平台提供报告相关的业务数据和呼叫中心数据的展示功能。

根据思科(Cisco)5月17日安全公告显示，思科统一通信解决方案和Web报表平台中发现跨站点脚本漏洞，需要尽快升级。以下是漏洞详情

漏洞详情

来源

https://tools.cisco./security/center/content/CiscoSecurityAdvisory/cisco-sa-cuic-xss-U2WTsUg6

CVE-2021-1463 CVSS评分6.1 严重程度: 中

Cisco Unified Intelligence中心软件基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对界面的用户进行跨站点脚本（XSS）攻击。

存在此漏洞是因为基于Web的管理界面无法正确验证用户提供的输入。攻击者可以说服受影响界面的用户单击精心设计的链接，从而利用此漏洞。成功的利用可能使攻击者可以在受影响的接口的上下文中执行任意脚本代码，或访问敏感的基于浏览器的信息。

受影响产品

在发布之时，此漏洞影响了Cisco Unified Intelligence Center 12.5(1)及之前版本和 Cisco Unified Contact Center Express 12.5(1)及之前版本

解决方案

对于Cisco Unified Intelligence Center Releases:

12.5(1)之前所有版本需升级到12.6(1)版本可修复

对于Unified Contact Center Express:

12.5(1)之前所有版本需升级到12.5(1) SU1版本可修复

查看更多漏洞信息 以及升级修复请访问官网

https://tools.cisco./security/center/publicationListing.x