PT-2020-2682 · Cisco · Cisco Unified Contact Center Express
Publicado
2020-06-03
·
Atualizado
2020-06-12
·
CVE-2020-3267
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
Cisco Unified Contact Center Express (versões afetadas não especificadas)
Descrição
O problema está relacionado à aplicação insuficiente de autorização no subsistema de API, permitindo que um invasor remoto autenticado altere o estado de disponibilidade de qualquer agente. Isso poderia ser feito autenticando-se no sistema com credenciais válidas de agente e realizando uma chamada de API específica com entrada manipulada, causando potencialmente uma condição de negação de serviço.
Recomendações
Para todas as versões afetadas, considere restringir o acesso ao subsistema de API até que uma correção esteja disponível.
Como solução temporária, limite a capacidade dos agentes de alterar seu estado de disponibilidade por meio da API para minimizar o risco de exploração.
Evite usar entradas manipuladas em chamadas de API para prevenir possíveis condições de negação de serviço.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Authorization
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Unified Contact Center Express