Cisco Personal Assistant用户密码验证可绕过漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1202080 漏洞类型 访问验证错误
发布时间 2004-01-08 更新时间 2005-10-12
CVE编号 CVE-2004-0044 CNNVD-ID CNNVD-200402-025
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200402-025
|漏洞详情
CiscoPersonalAssistant是一款基于MicrosoftWindows2000的应用程序,是AVVID解决方案的一部分。CiscoPersonalAssistant允许通过WEB接口未授权访问用户配置,远程攻击者可以利用这个漏洞更改用户参数和配置。此漏洞只在下面的条件成立时才存在:1、PersonalAssistant管理员在System->MiscellaneousSettings中勾了"AllowOnlyCiscoCallManagerUsers"。2、PersonalAssistantCorporateDirectory设置引用CiscoCallManager使用的相同目录服务。如果以上条件成立的情况下,PersonalAssistant的用户配置密码验证就会关闭,允许任意用户输入一个合法用户ID和任意密码就能访问配置管理系统,未授权更改其他用户配置。此漏洞不影响通过电话接口访问PersonalAssistant的用户。
|参考资料

来源:CISCO
名称:20040108CiscoPersonalAssistantUserPasswordBypassVulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml
来源:XF
名称:ciscopersonalassistant-config-file-access(14172)
链接:http://xforce.iss.net/xforce/xfdb/14172
来源:BID
名称:9384
链接:http://www.securityfocus.com/bid/9384
来源:OSVDB
名称:3430
链接:http://www.osvdb.org/3430