<div dir="ltr">I would keep pushing this.  There is an internal review process for bug release notes but clearly they failed here.  That should not be the only thing keeping Cisco employees from potentially putting malicious code in bug notes.  The reviewers probably wouldn't even be able to tell what is malicious and what isn't.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Aug 28, 2019 at 10:42 AM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Here is the response I got back after Cisco looked into my report:<div><br></div><div><i>"And as CDETS is not accessible to external users no malicious code can be entered and<span style="background-color:rgb(255,242,204)"> internal users will not enter any malicious code</span>."</i></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Aug 22, 2019 at 10:02 AM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com" target="_blank">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">FWIW I submitted feedback via the website and have already been contacted by someone on the Bug Search Tool team stating they're looking in to it.<div><br></div><div><div><img src="cid:ii_jzk461fp1" alt="image.png" width="537" height="521"><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Aug 20, 2019 at 9:35 AM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com" target="_blank">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Looks like I stumbled across some code injection on the following defect page:<div><br></div><div><a href="https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvq27976" target="_blank">https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvq27976</a> </div><div><br></div><div>It's innocent enough, but concerning that it's even possible. <br><div><br></div><div><div><img src="cid:ii_jzjxirc00" alt="image.png" width="542" height="220"><br></div></div></div></div>
</blockquote></div>
</blockquote></div>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
</blockquote></div>