Vulnerabilidad en Cisco Unified Customer Voice Portal (CVE-2017-12214)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
21/09/2017
Última modificación:
20/04/2025
Descripción
Existe una vulnerabilidad en la funcionalidad de reinicio de credenciales OAMP (Operations, Administration, Maintenance and Provisioning) para Cisco Unified Customer Voice Portal (CVP) que podría permitir que un atacante autenticado remoto obtenga privilegios elevados. Esta vulnerabilidad se debe a la ausencia de una validación de entrada correcta. Un atacante podría explotar esta vulnerabilidad autenticándose en el OAMP y enviado una petición HTTP manipulada. Una explotación con éxito podría permitir a un atacante obtener privilegios de administrador. El atacante debe autenticarse con éxito en el sistema para explotar esta vulnerabilidad. Esta vulnerabilidad afecta a las versiones 10.5, 11.0 o 11.5 del software que ejecute Cisco Unified Customer Voice Portal (CVP). Cisco Bug IDs: CSCve92752.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_customer_voice_portal:10.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_customer_voice_portal:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_customer_voice_portal:11.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/100931
- http://www.securitytracker.com/id/1039411
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cvp
- http://www.securityfocus.com/bid/100931
- http://www.securitytracker.com/id/1039411
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170920-cvp