Scanner gratuitement
Analyse en attenteCVE-2026-20170

CVE-2026-20170: XSS dans Cisco Webex Contact Center

Plateforme

cisco

Composant

webex-contact-center

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-20170 concerne une faille de Cross-Site Scripting (XSS) dans la fonctionnalité Desktop Agent de Cisco Webex Contact Center. Cette faille permet à un attaquant distant non authentifié d'injecter des scripts malveillants, potentiellement compromettant la confidentialité des données des utilisateurs. Bien qu'affectant des versions non spécifiées, Cisco a corrigé cette vulnérabilité dans le service Webex Contact Center et indique qu'aucune action n'est nécessaire de la part des clients.

Impact et Scénarios d'Attaque

Un attaquant exploitant avec succès cette vulnérabilité XSS pourrait injecter du code JavaScript malveillant dans la page Web de l'agent Webex Contact Center. Ce code pourrait être utilisé pour voler des informations sensibles, telles que des identifiants de connexion, des données personnelles ou des informations confidentielles relatives aux appels. L'attaquant pourrait également rediriger l'utilisateur vers un site Web malveillant ou modifier le contenu de la page Web pour tromper l'utilisateur. Bien que Cisco indique qu'aucune action n'est requise, la nature de la vulnérabilité XSS signifie qu'une attaque réussie pourrait avoir un impact significatif sur la confidentialité et l'intégrité des données.

Contexte d'Exploitation

La vulnérabilité CVE-2026-20170 a été publiée le 15 avril 2026. Il n'y a pas d'indication d'une exploitation active de cette vulnérabilité à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la correction par Cisco et de l'absence de preuves d'exploitation publique. Aucun score EPSS n'est disponible pour cette CVE.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.06% (percentile 20%)

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantwebex-contact-center
FournisseurCisco
Version minimaleN/A
Version maximaleN/A

Classification de Faiblesse (CWE)

CWE-80

Chronologie

  1. Publiée
  2. EPSS mis à jour

Mitigation et Contournements

Cisco a corrigé cette vulnérabilité dans le service Webex Contact Center. Bien que l'avis indique qu'aucune action n'est requise, il est toujours recommandé de maintenir le système à jour avec les dernières mises à jour de sécurité. En l'absence de mises à jour immédiates, une solution de contournement temporaire pourrait consister à renforcer les politiques de sécurité du contenu (CSP) pour limiter l'exécution de scripts provenant de sources non approuvées. Il est également important de sensibiliser les utilisateurs aux risques liés aux liens suspects et aux e-mails de phishing.

Comment corrigertraduction en cours…

Cisco ha solucionado esta vulnerabilidad en el servicio Cisco Webex Contact Center. No se requiere ninguna acción por parte del cliente.

Questions fréquentes

Que signifie CVE-2026-20170 — XSS dans Cisco Webex Contact Center ?

CVE-2026-20170 décrit une vulnérabilité de Cross-Site Scripting (XSS) dans le logiciel Cisco Webex Contact Center, permettant à un attaquant d'injecter des scripts malveillants dans les pages Web.

Suis-je affecté par CVE-2026-20170 dans Cisco Webex Contact Center ?

Bien que les versions affectées ne soient pas spécifiées, Cisco a corrigé la vulnérabilité. Si vous utilisez Webex Contact Center, assurez-vous d'appliquer les dernières mises à jour de sécurité.

Comment corriger CVE-2026-20170 dans Cisco Webex Contact Center ?

Cisco a corrigé la vulnérabilité dans le service Webex Contact Center. Appliquez les dernières mises à jour de sécurité fournies par Cisco.

CVE-2026-20170 est-il activement exploité ?

À ce jour, il n'y a aucune indication d'exploitation active de CVE-2026-20170. Cependant, la nature de la vulnérabilité XSS nécessite une vigilance continue.

Où puis-je trouver l'avis officiel de Cisco pour CVE-2026-20170 ?

Consultez le site Web de Cisco pour obtenir les derniers avis de sécurité concernant Webex Contact Center. Recherchez CVE-2026-20170 dans la base de connaissances de Cisco.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...