CVE-2021-1406

**Nome do software vulnerável e versões afetadas:

Versões do Cisco Unified Communications Manager (versões afetadas não especificadas)

Versões do Cisco Unified Communications Manager Session Management Edition (versões afetadas não especificadas)

Descrição:

O problema está relacionado à inclusão indevida de informações confidenciais em arquivos para download, o que poderia permitir que um invasor remoto autenticado acessasse informações confidenciais em um dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade autenticando-se no dispositivo e emitindo comandos específicos, obtendo potencialmente credenciais hashadas de usuários do sistema. O invasor precisaria de credenciais de usuário válidas com privilégios elevados para explorar essa vulnerabilidade.

Recomendações:

Para o Cisco Unified Communications Manager, restrinja o acesso a arquivos para download até que um patch esteja disponível.

Para o Cisco Unified Communications Manager Session Management Edition, considere desativar a capacidade de baixar arquivos confidenciais como uma solução temporária até que uma correção seja fornecida.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.