Vulnerabilidad crítica en Cisco Unified CCMP y CCDM

Cisco ha publicado un boletín de seguridad crítico para abordar una vulnerabilidad en sus productos Cisco Unified Contact Center Management Portal (Unified CCMP) y Unified Contact Center Domain Manager (Unified CCDM).

El fallo se encuentra en la interfaz de administración basada en web de Unified CCMP y Unified CCDM. Se debe a una falta de validación de los permisos de usuario del lado del servidor.

Sería posible aprovechar este problema de seguridad para realizar una escalada de privilegios a través del envío de una petición HTTP especialmente elaborada. Su explotación exitosa permitiría crear cuentas de administrador, con las que sería posible acceder y modificar la telefonía y recursos de los usuarios en todas las plataformas unificadas asociadas al sistema vulnerable.

Aunque este fallo solo podría ser explotado por un atacante que disponga previamente de credenciales de usuario avanzado válidas, ha recibido una puntación CVSS de 9.6 sobre 10.

La vulnerabilidad se ha identificado con el CVE CVE-2022-20658 y se ha solucionado en las versiones de Unified CCMP / CCDM 11.6.1 ES17, 12.0.1 ES5 y 12.5.1 ES5.

Cisco ha declarado no tener conocimiento de que la vulnerabilidad se este explotando activamente. Pero en cualquier caso, tal como hemos visto en ocasiones anteriores, se recomienda actualizar los sistemas Cisco Unified CCMP y Cisco Unified CCD a las últimas versiones disponibles.


Fuente: Hispasec.com

Dirección

 Calle 67 # 8-16. Oficina 304

Bogotá, D.C. 110231

Colombia

Contacto

 Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

 +57 (601) 794-5739 Ext 2001

  +57 315 860-7000