Mitel MiVoice Connect跨站脚本漏洞
CNVD编号CNVD-2018-08595
CVE编号
CVE-2018-9104
| CNNVD编号 |
CICSVD编号 -- |
危害级别 | 漏洞类型
通用型漏洞
|
公开时间
2018-04-27
| 报送时间
2018-04-26
|
收录时间
2018-04-27
| 更新时间
2018-04-27
|
CVSS 2.0
AV:N/AC:M/Au:N/C:N/I:P/A:N
|
CVSS 3.X
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
|
影响产品Mitel MiVoice Connect <= 21.84.5535.0 Mitel ST <=14.2 GA27 |
Mitel MiVoice Connect R1707-PREM和Mitel ST都是加拿大Mitel公司的产品。Mitel MiVoice Connect R1707-PREM是一套统一通信管理设备。ST是一款视频会议产品。conferencing是其中的一个会议召开通知组件。 Mitel MiVoice Connect R1707-PREM SP1(21.84.5535.0)及之前版本和Mitel ST 14.2 GA27及之前版本中的conferencing组件存在跨站脚本漏洞,该漏洞源于程序未能对pi.php页面执行充分的校验。远程攻击者可利用该漏洞执行任意脚本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.mitel.com/mitel-product-security-advisory-18-0003