PT-2022-3511 · Cisco · Cisco Unified Communications Manager Im & Presence Service+2
Dan Marin
·
Publicado
2022-07-06
·
Atualizado
2022-07-14
·
CVE-2022-20791
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Cisco Unified Communications Manager (versões afetadas não especificadas)
Versões do Cisco Unified Communications Manager Session Management Edition (versões afetadas não especificadas)
Versões do Cisco Unified Communications Manager IM & Presence Service (versões afetadas não especificadas)
Descrição
A vulnerabilidade existe devido a restrições insuficientes de permissão de arquivos, permitindo que um invasor remoto autenticado leia arquivos arbitrários no sistema operacional subjacente de um dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade enviando um comando malicioso da API para o aplicativo. O invasor precisaria de credenciais de usuário válidas para explorar essa vulnerabilidade.
Recomendações
Para o Cisco Unified Communications Manager, restrinja o acesso aos privilégios do usuário do banco de dados até que uma correção esteja disponível.
Para o Cisco Unified Communications Manager Session Management Edition, considere desativar o acesso à API para minimizar o risco de exploração.
Para o Cisco Unified Communications Manager IM & Presence Service, evite usar os privilégios de usuário do banco de dados afetados no endpoint da API até que a vulnerabilidade seja resolvida.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Unified Communications Manager
Cisco Unified Communications Manager Im & Presence Service
Cisco Unified Communications Manager Session Management Edition