漏洞分享 - Cisco BroadWorks Application Delivery Platform 和 Xtended Services Platform存在Stored XSS漏洞

                                                                                                       

 Cisco BroadWorks Application Delivery Platform 和 Xtended Services Platform存在Stored XSS漏洞

一、摘要

        Cisco BroadWorks Application Delivery Platform 和 Xtended Services Platform的網頁管理介面存在漏洞，允許已取得授權之遠端攻擊者進行儲存型跨站腳本攻擊。

二、存在風險

        Cisco BroadWorks Application Delivery Platform 和 Xtended Services Platform的網頁管理介面允許已取得授權之遠端攻擊者進行儲存型跨站腳本攻擊。該漏洞主要是因為未適當處理使用者的輸入導致，進而允許攻擊者利用之，其企圖讓使用者點擊精心製作的連結。一旦攻擊者成功利用，可允許攻擊者任意執行代碼、存取敏感資料或瀏覽資訊，其影響系統或版本如下：

• Cisco BroadWorks BWCallCenter
• 23.0以前之版本
• 23.0
• 24.0
• 25.0
  
  
• Cisco BroadWorks BWReceptionist
• 23.0以前之版本
• 23.0
• 24.0
• 25.0

        建議改善措施：

1. 將23.0以前之版本更新至官方提供的減緩措施。
2. 將23.0版本更新至BWReceptionist-23_2023.10_1.310.war。
3. 將24.0版本更新至BWCallCenter-24_2023.10_1.310.war。
4. 將24.0版本更新至BWReceptionist-24_2023.10_1.310.war。
5. 將25.0版本更新至BWCallCenter-25_2023.10_1.310.war。
6. 將25.0版本更新至BWReceptionist-25_2023.10_1.310.war。
7. 儘速導入雲智維服務，進行資安威脅情資偵測與聯防，降低企業資安風險。

        情資報告連結：https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-broadworks-xss-6syj82Ju?emailclick=CNSemail