CVE-2023-20266

Cisco Emergency Responder (versões afetadas não especificadas)

Cisco Unified Communications Manager (versões afetadas não especificadas)

Cisco Unified Communications Manager Session Management Edition (versões afetadas não especificadas)

Cisco Unity Connection (versões afetadas não especificadas)

Uma vulnerabilidade nos produtos Cisco mencionados poderia permitir que um invasor remoto autenticado elevasse privilégios a root em um dispositivo afetado. Esse problema existe porque o aplicativo não restringe adequadamente os arquivos usados para atualizações. Um invasor poderia explorar isso fornecendo um arquivo de atualização malicioso, permitindo-lhe elevar privilégios a root. O invasor deve ter credenciais válidas de administrador de plataforma em um dispositivo afetado para explorar essa vulnerabilidade.

Para o Cisco Emergency Responder, considere desativar o recurso de atualização até que um patch esteja disponível.

Para o Cisco Unified Communications Manager, restrinja o acesso aos arquivos de atualização para minimizar o risco de exploração.

Para o Cisco Unified Communications Manager Session Management Edition, evite usar arquivos de atualização criados de forma maliciosa até que o problema seja resolvido.

Para o Cisco Unity Connection, como solução alternativa temporária, considere restringir o acesso de administradores ao sistema até que uma correção esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.