TLP:CLEAR   PAP:WHITE 
Vulnerabilidad de inyección SQL de Cisco Unified Communications Manager

Descripción
CVE-2023-20010 (8.1)
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podría permitir que un atacante remoto autenticado realice ataques de inyección SQL en un sistema afectado.

Esta vulnerabilidad existe porque la interfaz de administración basada en web valida de manera inadecuada la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad al autenticarse en la aplicación como un usuario con pocos privilegios y enviar consultas SQL manipuladas a un sistema afectado. Una explotación exitosa podría permitir que el atacante lea o modifique cualquier dato en la base de datos subyacente o eleve sus privilegios.
Productos afectados
  • Unified CM
  • Unified CM SME
  • Riesgo
    Alto
    Soluciones
    Cisco ha lanzado actualizaciones de software gratuitas que abordan la vulnerabilidad descrita en este aviso.
    Referencias
    Publicación oficial
    Contacto
    Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es