Vulnerabilidad en Cisco Unified Communications Manager (CVE-2017-6785)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
17/08/2017
Última modificación:
20/04/2025
Descripción
Una vulnerabilidad en la validación de permisos de modificación de configuración en Cisco Unified Communications Manager podría permitir que un atacante remoto autenticado realice una escalada horizontal de privilegios en la que un usuario puede modificar la configuración de otro usuario. La vulnerabilidad se debe a la falta de un control de acceso basado en roles o RBAC (role-based access control) apropiado, en el que se requieren ciertos cambios de la configuración del usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP manipulada a la aplicación objetivo. Un exploit podría permitir que el atacante afecte la integridad de la aplicación, ya que un usuario puede modificar la configuración de la información de otro usuario. Cisco Bug IDs: CSCve27331. Versiones afectadas conocidas: 10.5(2.10000.5), 11.0(1.10000.10), 11.5(1.10000.6).
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_communications_manager:10.5\(2.10000.5\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:11.0\(1.10000.10\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:11.5\(1.10000.6\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/100375
- http://www.securitytracker.com/id/1039184
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170816-ucm
- http://www.securityfocus.com/bid/100375
- http://www.securitytracker.com/id/1039184
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170816-ucm