Vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) (CVE-2022-20786)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
21/04/2022
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) podría permitir a un atacante remoto autenticado conducir ataques de inyección SQL en un sistema afectado. Esta vulnerabilidad es debido a que no se han comprobado correctamente los parámetros enviados por el usuario. Un atacante podría explotar esta vulnerabilidad al autenticarse en la aplicación y enviando peticiones maliciosas a un sistema afectado. Una explotación con éxito podría permitir al atacante obtener datos o modificar los datos que son almacenados en la base de datos subyacente del sistema afectado
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:*:*:*:*:*:*:*:* | 11.5\(1\) (incluyendo) | 11.5\(1\)su11 (excluyendo) |
| cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:*:*:*:*:*:*:*:* | 12.5\(1\) (incluyendo) | 12.5\(1\)su6 (excluyendo) |
| cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service:*:*:*:*:*:*:*:* | 14.0 (incluyendo) | 14.0su1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página