TLP:CLEAR PAP:WHITE
Vulnerabilidad de inyección SQL de Cisco Unified Communications Manager
Descripción
CVE-2023-20010 (8.1)
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podría permitir que un atacante remoto autenticado realice ataques de inyección SQL en un sistema afectado.
Esta vulnerabilidad existe porque la interfaz de administración basada en web valida de manera inadecuada la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad al autenticarse en la aplicación como un usuario con pocos privilegios y enviar consultas SQL manipuladas a un sistema afectado. Una explotación exitosa podría permitir que el atacante lea o modifique cualquier dato en la base de datos subyacente o eleve sus privilegios.
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podría permitir que un atacante remoto autenticado realice ataques de inyección SQL en un sistema afectado.
Esta vulnerabilidad existe porque la interfaz de administración basada en web valida de manera inadecuada la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad al autenticarse en la aplicación como un usuario con pocos privilegios y enviar consultas SQL manipuladas a un sistema afectado. Una explotación exitosa podría permitir que el atacante lea o modifique cualquier dato en la base de datos subyacente o eleve sus privilegios.
Productos afectados
Riesgo
Alto
Soluciones
Cisco ha lanzado actualizaciones de software gratuitas que abordan la vulnerabilidad descrita en este aviso.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es