Cisco Finesse 的 Web 管理界面存在多个漏洞，允许未经身份验证的远程攻击者通过利用远程文件包含 (RFI) 漏洞执行存储型跨站脚本 (XSS) 攻击，或对受影响系统执行服务器端请求伪造 (SSRF) 攻击。

😨 **远程文件包含 (RFI) 漏洞:** 攻击者可以利用此漏洞在受影响系统上执行恶意代码，从而导致存储型跨站脚本 (XSS) 攻击。攻击者可以利用此漏洞窃取敏感信息，例如用户凭据或会话令牌。

😈 **服务器端请求伪造 (SSRF) 漏洞:** 攻击者可以利用此漏洞向受影响系统上的内部网络发送请求，从而导致拒绝服务攻击或其他安全漏洞。攻击者可以利用此漏洞访问敏感数据，例如内部网络上的配置信息。

🙏 **Cisco 已发布软件更新:** Cisco 已发布软件更新，以解决这些漏洞。建议用户尽快更新其 Cisco Finesse 系统，以减轻这些漏洞带来的风险。

🛡️ **没有可行的工作方法:** 目前没有可行的工作方法来解决这些漏洞。用户必须更新其 Cisco Finesse 系统，才能保护其系统免受这些漏洞的攻击。

Multiple vulnerabilities in the web-based management interface of Cisco Finesse could allow an unauthenticated, remote attacker to perform a stored cross site-scripting (XSS) attack by exploiting a remote file inclusion (RFI) vulnerability or perform a server-side request forgery (SSRF) attack an affected system.

For more information about these vulnerabilities, see the Details section of this advisory. 

Cisco has released software updates that address these vulnerabilities. There are no workarounds that address these vulnerabilities.

This advisory is available at the following link:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-finesse-ssrf-rfi-Um7wT8Ew

Security Impact Rating: Medium
CVE: CVE-2024-20404,CVE-2024-20405