PT-2024-1009 · Cisco · Cisco Unity Connection
Maxim Suslov
·
Publicado
2024-01-10
·
Atualizado
2024-09-01
·
CVE-2024-20272
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cisco Unity Connection (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade na interface de gerenciamento baseada na web do Cisco Unity Connection poderia permitir que um invasor remoto não autenticado enviasse arquivos arbitrários para um sistema afetado e executasse comandos no sistema operacional subjacente. Essa vulnerabilidade se deve à falta de autenticação em uma API específica e à validação inadequada dos dados fornecidos pelo usuário. Um invasor poderia explorar essa vulnerabilidade enviando arquivos arbitrários para um sistema afetado. Uma exploração bem-sucedida poderia permitir que o invasor armazenasse arquivos maliciosos no sistema, executasse comandos arbitrários no sistema operacional e elevasse privilégios para root.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Unity Connection