Múltiples vulnerabilidades en productos Cisco

Múltiples vulnerabilidades en productos Cisco
Lun, 09/10/2023 – 10:08

Recursos Afectados
  • Emergency Responder, versiones 12.5(1)SU4 y 14SU3;
  • Prime Collaboration Deployment, versión 14SU3;
  • Unified CM and Unified CM SME, versiones 12.5(1)SU7 y 14SU3;
  • Unified CM IM&P, versiones 12.5(1)SU7 y 14SU3;
  • Unity Connection, versión 14SU3.
Descripción

Unas pruebas internas de seguridad realizadas por Cisco revelaron 2 vulnerabilidades, una de severidad crítica y otra alta, cuya explotación podría permitir a un atacante, remoto y no autenticado, iniciar sesión en un dispositivo afectado utilizando credenciales de root o elevar el uso de CPU provocando retrasos en el procesamiento de las llamadas.

5 – Crítica
Solución

Actualizar los productos afectados a las versiones correctoras indicadas en el apartado «Fixed Releases» de cada aviso.

Detalle

Esta vulnerabilidad crítica se debe a la presencia de credenciales de usuario estáticas para la cuenta de root que suelen reservarse para su uso durante el desarrollo. Un atacante podría explotar esta vulnerabilidad utilizando la cuenta para iniciar sesión en un sistema afectado y ejecutar comandos arbitrarios como root. Se ha asignado el identificador CVE-2023-20101 para esta vulnerabilidad.

La vulnerabilidad de severidad alta tiene asignada el identificador CVE-2023-20259.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.