漏洞关键信息 漏洞概述 漏洞名称: Multiple Cisco Products OpenSocial Gadget Editor Vulnerabilities 严重程度: Medium 披露日期: 2021-01-13 更新日期: 2024-09-03 影响的产品: - Cisco Finesse (版本早于12.0(1) ES3和12.5(1)) - Cisco Virtualized Voice Browser (版本早于12.6(1)) - Cisco Unified CVP (版本12.6(2) ES4至12.6(2) ES17) 漏洞详情 CVE编号: - CVE-2021-1246: 未认证远程访问漏洞 - CVE-2021-1245: 跨站脚本(XSS)漏洞 CVSS评分: - CVE-2021-1246: 基础分6.5 - CVE-2021-1245: 基础分6.1 影响与利用 未认证远程攻击者可以通过构造的URL访问OpenSocial Gadget Editor,从而获取机密信息并创建任意XML文件。 XSS漏洞允许攻击者通过诱使用户点击恶意链接执行任意脚本代码,访问敏感的浏览器信息。 修复与缓解措施 工作区绕行: 无可用工作区绕行 修复版本: - Cisco Finesse: 12.0(1) ES3, 12.5(1)及更高版本 - Cisco Virtualized Voice Browser: 12.6(1)及更高版本 - Cisco Unified CVP: 12.6(2) ES18及更高版本 公告: 未发现任何公共公告或恶意利用此漏洞 漏洞历史与来源 CVE-2021-1246在Cisco TAC支持案例中被发现。 CVE-2021-1245由安全研究员独立报告。