NVD脆弱性詳細

CVE-2021-34773

概要	A vulnerability in the web-based management interface of Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), and Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) could allow an unauthenticated, remote attacker to conduct a cross-site request forgery (CSRF) attack on an affected device. This vulnerability is due to insufficient CSRF protections for the web-based management interface on an affected device. An attacker could exploit this vulnerability by persuading a user of the interface to click a malicious link. A successful exploit could allow the attacker to perform arbitrary actions with the privilege level of the targeted user. These actions could include modifying the device configuration and deleting (but not creating) user accounts.
公表日	2021年11月5日1:15
登録日	2021年11月5日10:00
最終更新日	2024年11月21日15:11

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:11.5\(1\):::::::*
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:10.5\(2\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:-::::session_management:::
cpe:2.3:a:cisco:unified_communications_manager:14.0\(1.10000.20\):::::::*
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:12.5:::::::*
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:14.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucm-csrf-xrTkDu3H		Vendor Advisory
2	https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucm-csrf-xrTkDu3H		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

JVN脆弱性情報

複数の Cisco Unified Communications Manager 製品におけるクロスサイトリクエストフォージェリの脆弱性

タイトル	複数の Cisco Unified Communications Manager 製品におけるクロスサイトリクエストフォージェリの脆弱性
概要	Cisco Unified Communications Manager (Unified CM)、Cisco Unified Communications Manager Session Management Edition (Unified CM SME)、Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) には、クロスサイトリクエストフォージェリの脆弱性が存在します。
想定される影響	情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年11月3日0:00
登録日	2022年10月19日16:36
最終更新日	2022年10月19日16:36

影響を受けるシステム

シスコシステムズ

Cisco Unified Communications Manager

Cisco Unified Communications Manager IM and Presence Service

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-34773	https://www.cve.org/CVERecord?id=CVE-2021-34773
National Vulnerability Database (NVD)
2	CVE-2021-34773	https://nvd.nist.gov/vuln/detail/CVE-2021-34773

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	名前	URL
Cisco Security Advisory
1	cisco-sa-ucm-csrf-xrTkDu3H	https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucm-csrf-xrTkDu3H

変更履歴

No	変更内容	変更日
1	[2022年10月19日] 掲載	2022年10月19日16:35

構成1	以上	以下	より上	未満
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:11.5\(1\):::::::*
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:10.5\(2\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:-::::session_management:::
cpe:2.3:a:cisco:unified_communications_manager:14.0\(1.10000.20\):::::::*
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:12.5:::::::*
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:14.0:::::::*