免费扫描
分析待定CVE-2026-20170

CVE-2026-20170: XSS in Cisco Webex Contact Center

平台

cisco

组件

webex-contact-center

在NVD查看
保存

CVE-2026-20170 describes a Cross-Site Scripting (XSS) vulnerability affecting the Desktop Agent functionality of Cisco Webex Contact Center. Successful exploitation could allow an unauthenticated, remote attacker to inject malicious scripts into a user's browser, potentially leading to information theft. Cisco has addressed this vulnerability in the Webex Contact Center service, and no customer action is currently required.

影响与攻击场景

Cisco Webex Contact Center 的 CVE-2026-20170 影响桌面代理功能。未经身份验证的远程攻击者可能利用此漏洞进行跨站脚本 (XSS) 攻击。这意味着攻击者可以将恶意代码注入到用户查看的网页中,从而可能窃取敏感信息(例如登录凭据)或代表用户执行操作。根据 CVSS 6.1 系统,此漏洞的严重程度被评定为中等。虽然 Cisco 已经在 Cisco Webex Contact Center 服务中修复了此漏洞,但了解漏洞修复前潜在的风险至关重要。根本原因是 HTML 和脚本内容的处理不当。

利用背景

攻击者可以通过诱骗用户点击恶意链接或访问受损的网站来利用此漏洞。此链接或网站可能包含旨在利用 Webex Contact Center 桌面代理漏洞的恶意 JavaScript 代码。一旦用户与恶意内容交互,攻击者就可以在用户的浏览器中执行任意代码,从而可能损害用户的帐户和数据。为了利用此漏洞不需要身份验证,这使其特别令人担忧,因为攻击者无需有效凭据即可发起攻击。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.06% (20% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionRequired是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件webex-contact-center
供应商Cisco
最低版本N/A
最高版本N/A

弱点分类 (CWE)

CWE-80

时间线

  1. 发布日期
  2. EPSS 更新日期

缓解措施和替代方案

Cisco 已经在 Cisco Webex Contact Center 服务中修复了此漏洞。修复涉及对代码进行更正,现在可以正确处理 HTML 和脚本内容,从而防止恶意代码注入。无需客户采取任何操作。 Cisco 已经自动实施了修复。建议用户将系统更新到最新版本的 Webex Contact Center,以确保最大程度的安全。虽然漏洞已得到解决,但保持积极的安全态势(包括对用户进行 XSS 攻击风险和避免可疑链接的风险教育)是一种良好的通用安全实践。

修复方法翻译中…

Cisco ha solucionado esta vulnerabilidad en el servicio Cisco Webex Contact Center. No se requiere ninguna acción por parte del cliente.

常见问题

CVE-2026-20170 是什么 — Cisco Webex Contact Center 中的 Cross-Site Scripting (XSS)?

XSS(跨站脚本)攻击是一种安全漏洞,允许攻击者将恶意代码注入到其他用户查看的网页中。

Cisco Webex Contact Center 中的 CVE-2026-20170 是否会影响我?

保持 Webex Contact Center 更新到最新版本。教育您的用户了解可疑链接的风险以及在线安全最佳实践。

如何修复 Cisco Webex Contact Center 中的 CVE-2026-20170?

此漏洞影响包含修复之前的版本。Cisco 已经在 Webex Contact Center 服务中修复了此漏洞。

CVE-2026-20170 是否正在被积极利用?

这意味着 Cisco 已经自动实施了修复,您无需执行任何手动任务来保护您的系统。

在哪里可以找到 Cisco Webex Contact Center 关于 CVE-2026-20170 的官方安全通告?

您可以在 Cisco 安全公告网站上找到更多信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...