アドバイザリID: cisco-sa-20171115-ucm CVE ID: CVE-2017-12302 CWE ID: CWE-89 CVSS スコア: ベース 4.3 深刻度: 中 初回公開日: 2017年11月15日 16:00 GMT 概要 Cisco Unified Communications ManagerのSQLデータベースインターフェースにおける脆弱性により、認証済みのリモート攻撃者が任意のSQLクエリを実行してシステムの機密性に影響を与える可能性があります。この脆弱性は、SQLクエリ内のユーザー入力の検証が不十分なことに起因します。攻撃者は、悪意のあるSQL文を含むカスタムURLを対象システムに送信することで、この脆弱性を悪用できます。これにより、攻撃者はデータベース内に特定のエントリが存在するかどうかを判定することが可能になります。 影響を受ける製品 この脆弱性は Cisco Unified Communications Manager に影響します。 その他、この脆弱性の影響を受けるCisco製品は現在知られていません。 詳細 SQLインジェクションに関する詳細情報は以下を参照してください: https://www.owasp.org/index.php/SQL_Injection 回避策 この脆弱性に対応する回避策はありません。 修正済みソフトウェア 修正済みソフトウェアリリースに関する情報については、このアドバイザリ上部に記載されているCiscoのバグIDを参照してください: Cisco Bug IDs: CSCvf36682 攻撃の利用と公開情報 Cisco Product Security Incident Response Team (PSIRT) は、本アドバイザリで記述されている脆弱性に関する公開情報や悪意ある使用例を把握していません。 出所 この脆弱性は内部セキュリティテスト中に発見されました。 URL https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171115-ucm