Múltiples vulnerabilidades en la interfaz de administración basada en web del software de aplicación Cisco BroadWorks CommPilot podrían permitir que un atacante remoto autenticado ejecute código arbitrario en un dispositivo afectado u obtenga información confidencial del servidor Cisco BroadWorks y otros dispositivos en la red.

CVE-2022-20958 (8.3): Vulnerabilidad de ejecución remota de código del software de aplicación Cisco BroadWorks CommPilot.
Una vulnerabilidad en la interfaz de administración basada en web del software de aplicación Cisco BroadWorks CommPilot podría permitir que un atacante remoto autenticado ejecute código arbitrario en un dispositivo afectado.

CVE-2022-20951 (7.7): Vulnerabilidad de falsificación de solicitud del lado del servidor del software de aplicación Cisco BroadWorks CommPilot.
Una vulnerabilidad en la interfaz de administración basada en web del software de aplicación Cisco BroadWorks CommPilot podría permitir que un atacante remoto autenticado realice un ataque de falsificación de solicitud del lado del servidor (SSRF) en un dispositivo afectado.

Software de aplicación Cisco BroadWorks CommPilot.

Cisco ha lanzado actualizaciones de software que abordan estas vulnerabilidades.

• Para versiones anteriores de 23.0: migrar a una versión compatible con las correcciones
• Para versiones 23.0: CommPilot-23 versión 2022.11_1.273
• Para versiones 24.0: CommPilot-24 versión 2022.11_1.273
• Para versiones 25.0: CommPilot-25 versión 2022.11_1.273

No hay soluciones alternativas que aborden estas vulnerabilidades.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es