Vulnerabilidad en Cisco Unity Connection (CVE-2017-6629)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
03/05/2017
Última modificación:
20/04/2025
Descripción
Una vulnerabilidad en el parámetro ImageID de Cisco Unity Connection 10.5 (2) podría permitir a un atacante remoto no autenticado acceder a archivos en ubicaciones arbitrarias en el sistema de archivos de un dispositivo afectado. El problema se debe a una desinfección inadecuada de la entrada suministrada por el usuario en los parámetros HTTP POST que describen los nombres de archivo. Un atacante podría explotar esta vulnerabilidad utilizando técnicas de salto de directorios para enviar una ruta a la ubicación del archivo deseada. ID de errores de Cisco: CSCvd90118.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unity_connection:10.5\(2\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/98286
- http://www.securitytracker.com/id/1038400
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-cuc
- http://www.securityfocus.com/bid/98286
- http://www.securitytracker.com/id/1038400
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-cuc