Vulnerabilidad en Cisco (CVE-2023-20259)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

04/10/2023

Última modificación:

25/01/2024

Descripción

Una vulnerabilidad en un endpoint de la API de múltiples productos de Comunicaciones Unificadas de Cisco podría permitir que un atacante remoto no autenticado provoque una alta utilización de la CPU, lo que podría afectar el acceso a la interfaz de administración basada en web y causar retrasos en el procesamiento de llamadas. Esta API no se utiliza para la administración de dispositivos y es poco probable que se utilice en las operaciones normales del dispositivo. Esta vulnerabilidad se debe a una autenticación de API incorrecta y a una validación incompleta de la solicitud. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a una API específica en el dispositivo. Un exploit exitoso podría permitir que el atacante cause una condición de denegación de servicio (DoS) debido a una alta utilización de la CPU, lo que podría afectar negativamente al tráfico de usuarios y al acceso de administración. Cuando el ataque cese, el dispositivo se recuperará sin intervención manual.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:cisco:emergency_responder:14su3:::::::*
cpe:2.3:a:cisco:prime_collaboration_deployment:14su3:::::::*
cpe:2.3:a:cisco:unified_communications_manager:12.5\(1\)su7:::::::*
cpe:2.3:a:cisco:unified_communications_manager:12.5\(1\)su7::::session_management:::
cpe:2.3:a:cisco:unified_communications_manager:14su3:::::::*
cpe:2.3:a:cisco:unified_communications_manager:14su3::::session_management:::
cpe:2.3:a:cisco:unified_communications_manager_im_\&_presence_service:12.5\(1\)su7:::::::*
cpe:2.3:a:cisco:unified_communications_manager_im_\&_presence_service:14su3:::::::*
cpe:2.3:a:cisco:unity_connection:14su3:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-apidos-PGsDcdNF

CPE	Desde	Hasta
cpe:2.3:a:cisco:emergency_responder:14su3:::::::*
cpe:2.3:a:cisco:prime_collaboration_deployment:14su3:::::::*
cpe:2.3:a:cisco:unified_communications_manager:12.5\(1\)su7:::::::*
cpe:2.3:a:cisco:unified_communications_manager:12.5\(1\)su7::::session_management:::
cpe:2.3:a:cisco:unified_communications_manager:14su3:::::::*
cpe:2.3:a:cisco:unified_communications_manager:14su3::::session_management:::
cpe:2.3:a:cisco:unified_communications_manager_im_\&_presence_service:12.5\(1\)su7:::::::*
cpe:2.3:a:cisco:unified_communications_manager_im_\&_presence_service:14su3:::::::*
cpe:2.3:a:cisco:unity_connection:14su3:::::::*