PT-2021-7007 · Cisco · Cisco Unified Communications Manager+1
Publicado
2021-11-02
·
Atualizado
2022-05-04
·
CVE-2022-20787
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Cisco Unified Communications Manager (versões afetadas não especificadas)
Versões do Cisco Unified Communications Manager Session Management Edition (versões afetadas não especificadas)
Descrição
O problema está relacionado à verificação insuficiente da origem das solicitações HTTP na interface de gerenciamento baseada na web, o que poderia permitir que um invasor remoto realizasse um ataque de falsificação de solicitação entre sites (CSRF) usando uma página da web especialmente criada para esse fim. Isso pode ser feito persuadindo um usuário da interface a clicar em um link malicioso, permitindo potencialmente que o invasor execute ações arbitrárias com o nível de privilégio do usuário afetado.
Recomendações
Para o Cisco Unified Communications Manager, considere desativar o acesso à interface de gerenciamento baseada na web até que uma correção esteja disponível.
Para o Cisco Unified Communications Manager Session Management Edition, restrinja o acesso à interface de gerenciamento baseada na web para minimizar o risco de exploração.
Como solução alternativa temporária, evite usar links de fontes não confiáveis para prevenir possíveis ataques CSRF.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Unified Communications Manager
Cisco Unified Communications Manager Session Management Edition