Vulnerabilidad en Cisco Unified CCX (CVE-2025-20276)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

04/06/2025

Última modificación:

05/06/2025

Descripción

Una vulnerabilidad en la interfaz de administración web de Cisco Unified CCX podría permitir que un atacante remoto autenticado ejecute código arbitrario en un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas. Esta vulnerabilidad se debe a la deserialización insegura de objetos Java por parte del software afectado. Un atacante podría explotar esta vulnerabilidad enviando un objeto Java manipulado a un dispositivo afectado. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario en el sistema operativo subyacente de un dispositivo afectado como un usuario con privilegios bajos. Una explotación exitosa también podría permitir al atacante realizar acciones adicionales para elevar sus privilegios a root.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.80 BAJA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.80

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-multi-UhOTvPGL