关键信息 漏洞概述 漏洞名称: Cisco Unified Communications Manager IM and Presence Service Information Disclosure Vulnerability 严重性: Medium CVE ID: CVE-2016-6464 CWE ID: CWE-200 Cisco Bug ID: CSCva49629 CVSS Score: Base 5.0, Temporal 4.1 漏洞描述 漏洞详情: 在Cisco Unified Communications Manager IM和Presence Service的Web管理界面中存在一个漏洞,允许未经授权的远程攻击者查看应被限制访问的网页信息。此漏洞是由于HTTP包头输入验证不当造成的。 攻击方式: 攻击者可以通过向目标设备发送特制的数据包来利用此漏洞,进而查看受限的网页。 是否有解决方法: 无可用的解决方法。 影响的产品 受影响产品: Cisco Unified Communications Manager IM and Presence Service 未受影响产品: 目前没有其他Cisco产品被确认受到此漏洞的影响。 解决方案 固定软件: 详细信息请参阅Cisco漏洞通告页面中的Cisco bug ID。 版本更新建议: 客户在进行软件升级时,应定期查看Cisco产品的Cisco安全通告和警报页面,以决定是否需要暴露风险和完成升级方案。 升级注意事项: 进行升级时,确保设备具有足够的内存,并确认当前硬件和软件配置能够继续得到新发布版本的支持。 公开披露和利用情况 公开利用情况: Cisco产品安全事件响应小组(PSIRT)目前没有发现任何公开公告或恶意利用此漏洞的行为。 其他信息 发布日期: 2016年12月7日 唯一链接: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161207-ucm