发布日期：2009-02-26
更新日期：2009-02-27

受影响系统：

Cisco Unified MeetingPlace 7.0
Cisco Unified MeetingPlace 6.0

不受影响系统：

Cisco Unified MeetingPlace 7.0(2)
Cisco Unified MeetingPlace 6.0(517.0)

描述：

---

BUGTRAQ  ID: 33915

Cisco Unified MeetingPlace是思科的网络会议解决方案。

Unified MeetingPlace允许用户修改自己的帐号设置，如名称、电话分机、邮件地址等。如果用户在配置文件页面设置了特制的E-mail Address字段的话，则其他用户在查看该用户的配置文件或该用户所创建会议的详细信息时就会导致跨站脚本攻击，在浏览器会话中执行所嵌入的恶意代码。

<*来源：National Australia Bank
  
  链接：http://marc.info/?l=bugtraq&m=123566776514749&w=2
        http://secunia.com/advisories/34016/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

"><script>INSERT JAVASCRIPT HERE</script>

建议：

---

厂商补丁：

Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278875240
http://tools.cisco.com/support/downloads/go/Model.x?mdfid=278816725&mdfLevel=Software%20Version/Option&treeName=Voice%20and%20Unified%20Communications&modelName=Cisco%20Unified%20MeetingPlace%20Web%20Conferencing&treeMdfId=278875240

浏览次数：2930
严重程度：0（网友投票）