Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cisco Emergency Responder (CVE-2024-20352)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-23 Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)
Fecha de publicación:
03/04/2024
Última modificación:
07/05/2025

Descripción

Una vulnerabilidad en Cisco Emergency Responder podría permitir que un atacante remoto autenticado lleve a cabo un ataque directory traversal, lo que podría permitirle realizar acciones arbitrarias en un dispositivo afectado. Esta vulnerabilidad se debe a protecciones insuficientes para la interfaz de usuario web de un SYSTEM afectado. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes manipuladas a la interfaz de usuario web. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado, como acceder a contraseñas o archivos de registro o cargar y eliminar archivos existentes del SYSTEM.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cisco:emergency_responder:*:*:*:*:*:*:*:* 12.5(1)su8b (excluyendo)
cpe:2.3:a:cisco:emergency_responder:14:*:*:*:*:*:*:*
cpe:2.3:a:cisco:emergency_responder:14su1:*:*:*:*:*:*:*
cpe:2.3:a:cisco:emergency_responder:14su2:*:*:*:*:*:*:*
cpe:2.3:a:cisco:emergency_responder:14su3:*:*:*:*:*:*:*
cpe:2.3:a:cisco:emergency_responder:14su3a:*:*:*:*:*:*:*