Risque
- Contournement de la politique de sécurité ;
- atteinte à l'intégrité des données.
Systèmes affectés
Cisco Unity Express 2.x.
Résumé
Une vulnérabilité dans Cisco Unity Express permet à un utilisateur distant mal intentionné de porter atteinte à l'intégrité des données et de contourner la politique de sécurité.
Description
La vulnérabilité est causée par une erreur dans l'interface web de gestion lors du changement d'un mot de passe. Cette vulnérabilité peut être exploitée par un individu mal intentionné dansle but de modifier le mot de passe d'un autre utilisateur par un mot de passe vide, expiré ou aléatoire. Un utilisateur malveillant pourrait obtenir les privilèges de l'administrateur.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco ID cisco-sa-20060501-cue du 01 mai 2006 :
http://www.cisco.com/warp/public/707/cisco-sa-20060501-cue.shtml