Vulnerabilidad en Cisco Unified Communications Manager SQL (CVE-2017-12302)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
16/11/2017
Última modificación:
20/04/2025
Descripción
Una vulnerabilidad en la interfaz de la base de datos de Cisco Unified Communications Manager SQL podría permitir que un atacante remoto autenticado afecte a la confidencialidad del sistema ejecutando consultas SQL arbitrarias. Esto también se conoce como inyección SQL. Esta vulnerabilidad se debe a la falta de mecanismos de validación de los valores de entrada proporcionados por el usuario en consultas SQL. Un atacante podría explotar esta vulnerabilidad mediante el envío de URL modificadas que incluyan instrucciones SQL maliciosas al sistema afectado. Un exploit podría permitir que el atacante determine la presencia de ciertos valores en la base de datos. Cisco Bug IDs: CSCvf36682.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_communications_domain_manager:10.5\(2.10000.5\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_domain_manager:11.0\(1.10000.10\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_domain_manager:11.5\(1.10000.6\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_domain_manager:12.0\(1.10000.10\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/101853
- http://www.securitytracker.com/id/1039826
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171115-ucm
- http://www.securityfocus.com/bid/101853
- http://www.securitytracker.com/id/1039826
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171115-ucm