漏洞关键信息 漏洞概述 漏洞名称: Cisco Emergency Responder Web Framework Arbitrary File Upload Vulnerability 严重性: Medium CVE编号: CVE-2015-6407 CWE编号: CWE-20 公告ID: cisco-sa-20151209-erw 首次发布日期: 2015年12月10日 07:30 GMT 漏洞状态: Final Cisco Bug ID: CSCuv25501 CVSS评分: Base 4.0, Temporal 3.3 漏洞描述 漏洞详情: 在Cisco Emergency Responder (CER)的Web框架中存在一个漏洞,可能允许未认证的远程攻击者上传任意文件到文件系统的受限位置。 原因: 由于参数验证不足。 利用方式: 攻击者可以通过向服务器发送精心构造的请求来利用此漏洞,允许在受影响设备上的任意位置上传任意文件。 影响产品 受影响产品: Cisco Emergency Responder Release 10.5(3.10000.9) 未受影响产品: 没有其他已知的Cisco产品受此漏洞影响。 解决方案 修复软件: Cisco已发布软件更新以解决此漏洞。 注意事项: 客户在考虑软件升级时,建议咨询Cisco安全公告和响应档案。 其他信息 变通方案: 没有可用的变通方案。 公开利用和公告: Cisco Product Security Incident Response Team (PSIRT)未发现任何关于此漏洞的公开公告或恶意使用。 相关链接: Cisco Security Advisory