Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Escalada de privilegios en Meeting Management de Cisco

Fecha de publicación 23/01/2025
Identificador
INCIBE-2025-0033
Importancia
5 - Crítica
Recursos Afectados

Esta vulnerabilidad afecta a Cisco Meeting Management, independientemente de la configuración del dispositivo. Para obtener información sobre qué versiones de software de Cisco son vulnerables, consulte la sección "Fixed Software" del aviso enlazado en referencias.

Descripción

Ben Leonard-Lagarde de Modux ha informado de una vulnerabilidad de severidad crítica que podría permitir que un atacante remoto autenticado con bajos privilegios los eleve a administrador en un dispositivo afectado.

Solución

Cisco ha publicado actualizaciones gratuitas que solucionan la vulnerabilidad

Detalle

Esta vulnerabilidad existe porque no se aplica la autorización adecuada a los usuarios de la API REST. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes de API a un punto final específico. Una explotación exitosa podría permitir al atacante obtener control a nivel de administrador sobre los nodos perimetrales administrados por Cisco Meeting Management.

Se ha asignado el identificador CVE-2025-20156 para esta vulnerabilidad.