Cisco Finesse服务器端请求伪造漏洞

CVE编号

CVE-2016-1373

利用情况

暂无

补丁情况

N/A

披露时间

2016-05-06

漏洞描述

Cisco Finesse是美国思科（Cisco）公司的一套呼叫中心管理软件。该软件可提升呼叫中心服务质量、改善客户体验、提高客服代表满意度。 Cisco Finesse中存在服务器端请求伪造漏洞，该漏洞源于程序未能充分限制gadgets集成的API访问。远程攻击者可通过发送特制的HTTP请求利用该漏洞执行任意操作。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160504-finesse

参考链接
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa...
http://www.securitytracker.com/id/1035756

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	cisco	finesse	10.0(1)_base	-
	运行在以下环境
	应用	cisco	finesse	10.0(1)_su1	-
	运行在以下环境
	应用	cisco	finesse	10.0(1)_su1.1	-
	运行在以下环境
	应用	cisco	finesse	10.5(1)_base	-
	运行在以下环境
	应用	cisco	finesse	10.5(1)_es1	-
	运行在以下环境
	应用	cisco	finesse	10.5(1)_es2	-
	运行在以下环境
	应用	cisco	finesse	10.5(1)_es3	-
	运行在以下环境
	应用	cisco	finesse	10.5(1)_es4	-
	运行在以下环境
	应用	cisco	finesse	10.5(1)_su1	-
	运行在以下环境
	应用	cisco	finesse	10.5(1)_su1.1	-
	运行在以下环境
	应用	cisco	finesse	10.5(1)_su1.7	-
	运行在以下环境
	应用	cisco	finesse	10.6(1)_base	-
	运行在以下环境
	应用	cisco	finesse	10.6(1)_su1	-
	运行在以下环境
	应用	cisco	finesse	10.6(1)_su2	-
	运行在以下环境
	应用	cisco	finesse	11.0(1)_base	-
	运行在以下环境
	应用	cisco	finesse	8.5(1)_base	-
	运行在以下环境
	应用	cisco	finesse	8.5(2)_base	-
	运行在以下环境
	应用	cisco	finesse	8.5(3)_base	-
	运行在以下环境
	应用	cisco	finesse	8.5(4)_base	-
	运行在以下环境
	应用	cisco	finesse	8.5(5)_base	-
	运行在以下环境
	应用	cisco	finesse	8.6(1)_base	-
	运行在以下环境
	应用	cisco	finesse	9.0(1)_base	-
	运行在以下环境
	应用	cisco	finesse	9.0(2)_base	-
	运行在以下环境
	应用	cisco	finesse	9.1(1)_base	-
	运行在以下环境
	应用	cisco	finesse	9.1(1)_es1	-
	运行在以下环境
	应用	cisco	finesse	9.1(1)_es2	-
	运行在以下环境
	应用	cisco	finesse	9.1(1)_es3	-
	运行在以下环境
	应用	cisco	finesse	9.1(1)_es4	-
	运行在以下环境
	应用	cisco	finesse	9.1(1)_es5	-
	运行在以下环境
	应用	cisco	finesse	9.1(1)_su1	-
	运行在以下环境
	应用	cisco	finesse	9.1(1)_su1.1	-

CVSS3评分 8.6

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 已更改
• 用户交互 无
• 可用性 无
• 保密性 无
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

CWE-ID	漏洞类型
NVD-CWE-Other

Exp相关链接

- avd.aliyun.com