Vulnerabilidad en Cisco Unified Communications Domain Manager (CVE-2018-0124)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

22/02/2018

Última modificación:

09/10/2019

Descripción

Una vulnerabilidad en Cisco Unified Communications Domain Manager podría permitir que un atacante remoto no autenticado omita las protecciones de seguridad, obtenga privilegios elevados y ejecute código arbitrario. La vulnerabilidad se debe a una generación de claves insegura durante la configuración de la aplicación. Un atacante podría explotar esta vulnerabilidad empleando un valor conocido de clave inseguro para omitir las protecciones de seguridad mediante el envío de peticiones arbitrarias empleando la clave insegura en una aplicación objetivo. Una explotación con éxito podría permitir que el atacante ejecute código arbitrario. La vulnerabilidad afecta a las versiones de Cisco Unified Communications Domain Manager anteriores a 11.5(2). Cisco Bug IDs: CSCuv67964.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico