免费扫描
分析待定CVE-2026-20170

CVE-2026-20170: XSS in Cisco Webex Contact Center

平台

cisco

组件

webex-contact-center

在NVD查看
保存

CVE-2026-20170 是 Cisco Webex Contact Center Desktop Agent 功能中的一个跨站脚本攻击 (XSS) 漏洞。成功利用此漏洞可能允许未经身份验证的远程攻击者执行恶意脚本,从而窃取敏感信息。该漏洞影响于 N/A–N/A 的版本,Cisco 已在 Cisco Webex Contact Center 服务中修复了此漏洞,无需客户采取任何操作。

影响与攻击场景

攻击者可以诱骗用户点击恶意链接来触发此 XSS 漏洞。一旦成功利用,攻击者可以执行任意 JavaScript 代码,从而窃取用户的会话 Cookie、凭据或其他敏感信息。此外,攻击者还可以利用此漏洞重定向用户到恶意网站,或在 Webex Contact Center 界面中显示虚假信息,从而欺骗用户。虽然 Cisco 声明无需客户采取操作,但仍建议定期审查安全配置并保持系统更新。

利用背景

该漏洞已于 2026 年 4 月 15 日公开披露。目前尚无公开的漏洞利用程序 (POC),但 XSS 漏洞通常容易被利用。由于该漏洞影响 Webex Contact Center,如果该系统被广泛部署,则可能存在被攻击的风险。目前未观察到有针对此漏洞的活跃攻击活动,但建议密切关注安全社区的动态。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.06% (20% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionRequired是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件webex-contact-center
供应商Cisco
最低版本N/A
最高版本N/A

弱点分类 (CWE)

CWE-80

时间线

  1. 发布日期
  2. EPSS 更新日期

缓解措施和替代方案

Cisco 已经发布了修复此漏洞的补丁。建议尽快升级到修复后的版本。由于目前未提供具体版本信息,建议联系 Cisco 技术支持获取最新补丁信息。在升级过程中,如果遇到兼容性问题,可以考虑回滚到之前的稳定版本,并联系 Cisco 获取升级指导。此外,实施严格的输入验证和输出编码策略,可以有效防止 XSS 攻击。

修复方法翻译中…

Cisco ha solucionado esta vulnerabilidad en el servicio Cisco Webex Contact Center. No se requiere ninguna acción por parte del cliente.

常见问题

什么是 CVE-2026-20170 — XSS 漏洞在 Cisco Webex Contact Center 中?

CVE-2026-20170 是 Cisco Webex Contact Center Desktop Agent 功能中的一个跨站脚本攻击 (XSS) 漏洞,攻击者可以利用此漏洞执行恶意脚本,窃取敏感信息。

我是否受到 CVE-2026-20170 在 Cisco Webex Contact Center 中的影响?

如果您的 Cisco Webex Contact Center 运行于 N/A–N/A 版本,则可能受到影响。请尽快升级到修复后的版本。

如何修复 CVE-2026-20170 在 Cisco Webex Contact Center 中的漏洞?

建议尽快升级到 Cisco 提供的修复版本。请联系 Cisco 技术支持获取最新补丁信息。

CVE-2026-20170 是否正在被积极利用?

目前尚无公开的漏洞利用程序,但 XSS 漏洞通常容易被利用,建议密切关注安全动态。

在哪里可以找到 Cisco Webex Contact Center 官方关于 CVE-2026-20170 的公告?

请访问 Cisco 安全公告网站,搜索 CVE-2026-20170 以获取官方公告和修复信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...