漏洞概述
多个漏洞存在于 Cisco Packaged Contact Center Enterprise(Packaged CCE)和 Cisco Unified Contact Center Enterprise(Unified CCE)的 Web 管理界面中,可能允许经过身份验证的远程攻击者对受影响设备的 Web 管理界面用户发起跨站脚本(XSS)攻击。这些漏洞源于 Web 管理界面未能正确验证用户提供的输入,攻击者可借此在特定页面注入恶意代码,从而在受害用户的浏览器上下文中执行任意脚本或访问敏感信息。
漏洞详情
- CVE 编号:CVE-2026-20109
- 漏洞类型:跨站脚本(XSS)(CWE-79)
- CVSS 评分:4.8(中危)
向量:CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N - 影响版本:Cisco Packaged Contact Center Enterprise(Packaged CCE)和 Cisco Unified Contact Center Enterprise(Unified CCE)的受影响版本(具体版本请参考厂商公告)
影响范围
该漏洞影响 Cisco Packaged CCE 和 Unified CCE 的 Web 管理界面。攻击者需具备有效的管理员凭据才能利用此漏洞,因此主要影响已部署上述产品的组织内部具有管理权限的用户环境。
风险分析
成功利用此漏洞的攻击者可在受害者浏览器中执行任意 JavaScript 代码,可能导致会话劫持、敏感信息泄露(如 Cookie 或本地存储数据)或在管理界面中执行未授权操作。由于攻击需要高权限凭证(管理员账户)且需用户交互(如点击恶意链接),整体风险被评估为中等。
修复建议
- 建议用户及时关注并应用 Cisco 官方发布的安全更新或补丁。
- 在官方修复方案发布前,应限制 Web 管理界面的访问权限,仅允许可信用户通过安全网络访问,并避免点击来源不明的链接。
