Lun, 09/10/2023 – 10:08
- Emergency Responder, versiones 12.5(1)SU4 y 14SU3;
- Prime Collaboration Deployment, versiĂłn 14SU3;
- Unified CM and Unified CM SME, versiones 12.5(1)SU7 y 14SU3;
- Unified CM IM&P, versiones 12.5(1)SU7 y 14SU3;
- Unity Connection, versiĂłn 14SU3.
Unas pruebas internas de seguridad realizadas por Cisco revelaron 2 vulnerabilidades, una de severidad crĂtica y otra alta, cuya explotaciĂłn podrĂa permitir a un atacante, remoto y no autenticado, iniciar sesiĂłn en un dispositivo afectado utilizando credenciales de root o elevar el uso de CPU provocando retrasos en el procesamiento de las llamadas.
Actualizar los productos afectados a las versiones correctoras indicadas en el apartado “Fixed Releases” de cada aviso.
Esta vulnerabilidad crĂtica se debe a la presencia de credenciales de usuario estĂĄticas para la cuenta de root que suelen reservarse para su uso durante el desarrollo. Un atacante podrĂa explotar esta vulnerabilidad utilizando la cuenta para iniciar sesiĂłn en un sistema afectado y ejecutar comandos arbitrarios como root. Se ha asignado el identificador CVE-2023-20101 para esta vulnerabilidad.
La vulnerabilidad de severidad alta tiene asignada el identificador CVE-2023-20259.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.