Vulnerabilidad en la función j_spring_security_switch_user en Cisco Unified Intelligence Center (CVE-2016-6426)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
05/10/2016
Última modificación:
12/04/2025
Descripción
La función j_spring_security_switch_user en Cisco Unified Intelligence Center (CUIC) 8.5.4 hasta la versión 9.1(1), tal como se utiliza en Unified Contact Center Express 10.0(1) hasta la versión 11.0(1), permite a atacantes remotos crear cuentas de usuario visitando una página web no especificada, vulnerabilidad también conocida como IDs CSCuy75027 y CSCuy81653.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_contact_center_express:10.0\(1\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_contact_center_express:10.5\(1\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_contact_center_express:10.6\(1\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_contact_center_express:11.0\(1\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_intelligence_center:8.5.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_intelligence_center:9.0\(2\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_intelligence_center:9.1\(1\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-ucis2
- http://www.securityfocus.com/bid/93420
- http://www.securitytracker.com/id/1036952
- http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-ucis2
- http://www.securityfocus.com/bid/93420
- http://www.securitytracker.com/id/1036952