http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200402-025

CiscoPersonalAssistant是一款基于MicrosoftWindows2000的应用程序，是AVVID解决方案的一部分。CiscoPersonalAssistant允许通过WEB接口未授权访问用户配置，远程攻击者可以利用这个漏洞更改用户参数和配置。此漏洞只在下面的条件成立时才存在：1、PersonalAssistant管理员在System->MiscellaneousSettings中勾了”AllowOnlyCiscoCallManagerUsers”。2、PersonalAssistantCorporateDirectory设置引用CiscoCallManager使用的相同目录服务。如果以上条件成立的情况下，PersonalAssistant的用户配置密码验证就会关闭，允许任意用户输入一个合法用户ID和任意密码就能访问配置管理系统，未授权更改其他用户配置。此漏洞不影响通过电话接口访问PersonalAssistant的用户。

来源:CISCO
名称:20040108CiscoPersonalAssistantUserPasswordBypassVulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml
来源:XF
名称:ciscopersonalassistant-config-file-access(14172)
链接:http://xforce.iss.net/xforce/xfdb/14172
来源:BID
名称:9384
链接:http://www.securityfocus.com/bid/9384
来源:OSVDB
名称:3430
链接:http://www.osvdb.org/3430