PT-2022-5102 · Cisco · Cisco Telepresence Vcs+1
Deklan Evans
·
Publicado
2022-10-05
·
Atualizado
2025-07-31
·
CVE-2022-20814
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Cisco Expressway-C (versões afetadas não especificadas)
Cisco TelePresence VCS (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na validação de certificados do Cisco Expressway-C e do Cisco TelePresence VCS poderia permitir que um invasor remoto não autenticado obtivesse acesso não autorizado a dados confidenciais. A vulnerabilidade se deve à falta de validação do certificado SSL do servidor que um dispositivo afetado recebe ao estabelecer uma conexão com um dispositivo Cisco Unified Communications Manager. Um invasor poderia explorar essa vulnerabilidade usando uma técnica de man-in-the-middle para interceptar o tráfego entre os dispositivos e, em seguida, usar um certificado autoassinado para se passar pelo terminal. Uma exploração bem-sucedida poderia permitir que o invasor visualizasse o tráfego interceptado em texto simples ou alterasse o conteúdo do tráfego.
Recomendações
Para o Cisco Expressway-C, atualize para uma versão que inclua a atualização de software lançada pela Cisco para corrigir essa vulnerabilidade.
Para o Cisco TelePresence VCS, atualize para uma versão que inclua a atualização de software lançada pela Cisco para corrigir essa vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso a dados confidenciais e implementar medidas de segurança adicionais para minimizar o risco de exploração.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Expressway-C
Cisco Telepresence Vcs