Vulnerabilidad en funcionalidad IP Phone Personal Address Book (PAB) Synchronizer en Cisco Unified Communications Manager (CVE-2009-0632)

Gravedad CVSS v2.0:

ALTA

Tipo:

CWE-255 Gestión de credenciales

Fecha de publicación:

12/03/2009

Última modificación:

09/04/2025

Descripción

La funcionalidad IP Phone Personal Address Book (PAB) Synchronizer en Cisco Unified Communications Manager (también conocido como CUCM, formalmente CallManager) v4.1, v4.2 anteriores v4.2(3)SR4b, v4.3 anteriores v4.3(2)SR1b, v5.x anteriores v5.1(3e), v6.x anteriores v6.1(3), y v7.0 anteriores v7.0(2) envía credenciales de cuentas privilegiadas del servicio directorio a el cliente en texto plano, lo que permite a los atacantes remotos modificar la configuración CUCM y desarrollar otros acciones privilegiadas interceptando estas credenciales, y usándola en peticiones no relativas a las tareas de sincronización establecidas, como se ha demostrado a través de (1) credenciales de la cuenta DC Directory en CUCM v4.x y (2) credenciales de cuenta TabSyncSysUser en CUCM v5.x hasta v7.x.

Impacto

Vector 2.0

AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.00 ALTA
Vector: AV:N/AC:L/Au:S/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo

Puntuación base 2.0

9.00

Gravedad 2.0

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:cisco:unified_communications_manager:4.1:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2\(3\)sr1:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2\(3\)sr2b:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2\(3\)sr3:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2\(3\)sr4:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.3:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.3\(1\)sr.1:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.3\(2\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.3\(2\)sr1:::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.0:::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.1\(1\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.1\(2\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.1\(2a\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.1\(2b\):::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:cisco:unified_communications_manager:4.1:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2\(3\)sr1:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2\(3\)sr2b:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2\(3\)sr3:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.2\(3\)sr4:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.3:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.3\(1\)sr.1:::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.3\(2\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:4.3\(2\)sr1:::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.0:::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.1\(1\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.1\(2\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.1\(2a\):::::::*
cpe:2.3:a:cisco:unified_communications_manager:5.1\(2b\):::::::*

Vulnerabilidad en funcionalidad IP Phone Personal Address Book (PAB) Synchronizer en Cisco Unified Communications Manager (CVE-2009-0632)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información