Vulnerabilidad en Cisco (CVE-2024-20445)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

06/11/2024

Última modificación:

06/11/2024

Descripción

Una vulnerabilidad en la interfaz de usuario web de los teléfonos de escritorio Cisco de la serie 9800, los teléfonos IP de la serie 7800 y 8800 de Cisco y el teléfono con video Cisco 8875 podría permitir que un atacante remoto no autenticado acceda a información confidencial en un dispositivo afectado. Esta vulnerabilidad se debe al almacenamiento inadecuado de información confidencial dentro de la interfaz de usuario web de las cargas de teléfonos basadas en el protocolo de inicio de sesión (SIP). Un atacante podría aprovechar esta vulnerabilidad navegando hasta la dirección IP de un dispositivo que tenga habilitado el acceso web. Una explotación exitosa podría permitir al atacante acceder a información confidencial, incluidos los registros de llamadas entrantes y salientes. Nota: el acceso web está deshabilitado de forma predeterminada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-phone-infodisc-sbyqQVbG