De lekken zijn ontdekt door het Amerikaanse beveiligingsbedrijf Fishnet Security. Volgens de onderzoekers zijn versies 3.1 en hoger van de sofware, die voip-verkeer afhandelt, vatbaar voor de lekken.

Door de lekken te misbruiken zouden kwaadwillenden xss-aanvallen (cross site scripting) kunnen uitvoeren, zo meldt Crn.com.

Voor zover bekend zijn er nog geen workarounds. Nog te verschijnen versies zullen overigens niet vatbaar zijn voor de lekken. Fishnet adviseert bedrijven het netwerkverkeer naar Call Manager te beperken om zodoende te voorkomen dat hackers publieke interfaces kunnen ontdekken.

"Eenvoudige Google-queries zijn het enige dat een aanvaller in dit geval nodig heeft. Er zijn weinig overtuigende redenen te verzinnen die het rechtvaardigen een Call Manager-webinterface publiek toegankelijk te maken", aldus de onderzoekers in hun rapport. Bron: Techworld