PT-2021-7003 · Cisco · Cisco Unified Communications Manager+1
Publicado
2021-11-02
·
Atualizado
2022-05-03
·
CVE-2022-20790
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Cisco Unified Communications Manager (Unified CM) e Cisco Unified Communications Manager Session Management Edition (Unified CM SME) (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na interface de gerenciamento baseada na web poderia permitir que um invasor remoto autenticado lesse arquivos arbitrários do sistema operacional subjacente. Este problema existe devido à validação inadequada das entradas fornecidas pelo usuário. Um invasor poderia explorar isso enviando uma solicitação HTTP maliciosa contendo sequências de caracteres de traversal de diretório para um sistema afetado, potencialmente acessando arquivos confidenciais.
Recomendações
Para o Cisco Unified Communications Manager (Unified CM) e o Cisco Unified Communications Manager Session Management Edition (Unified CM SME), considere restringir o acesso à interface de gerenciamento baseada na web até que uma correção esteja disponível.
Como solução alternativa temporária, considere desativar a interface de gerenciamento baseada na web para minimizar o risco de exploração.
Evite usar a interface de gerenciamento baseada na web para operações confidenciais até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Relative Path Traversal
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Unified Communications Manager
Cisco Unified Communications Manager Session Management Edition