CVE-2020-3532丨多款Cisco产品跨站脚本漏洞

Cisco Unity Connection（UC）等都是美国思科（Cisco）公司的产品。Cisco Unity Connection是一套语音留言平台。Cisco Unified Communications Manager（CUCM，Unified CM，CallManager）是一款统一通信系统中的呼叫处理组件。Unified Communications Manager Session Management Edition（CM SME）是Unified Communications Manager的会话管理版。

多款Cisco产品中的基于Web的管理界面存在跨站脚本漏洞，该漏洞源于程序没有正确验证用户提交的输入。远程攻击者可通过诱使用户点击特制的链接利用该漏洞在受影响界面的上下文中执行任意脚本代码或访问基于浏览器的敏感信息。以下产品及版本受到影响：Cisco Unified CM 10.5(2)SU10及之前版本，11.5(1)SU8及之前版本，12.0(1)SU3及之前版本，12.5(1)SU2及之前版本；Unified CM SME 10.5(2)SU10及之前版本，11.5(1)SU8及之前版本，12.0(1)SU3及之前版本，12.5(1)SU2及之前版本；Unified CM IM＆P Service 10.5(2)SU4a及之前版本，11.5(1)SU8及版本，12.0(1)版本，12.5(1)SU2及之前版本；UC 10.5(2)SU10及之前版本，11.5(1)SU8及之前版本，12.0(1)SU3及之前版本，12.5(1)SU2及之前版本。