Vulnerabilidad en la interfaz basada en web de Cisco Unified Communications Manager y Cisco Unified Communications Manager Session Management Edition (CVE-2019-12710)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
02/10/2019
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en la interfaz basada en web de Cisco Unified Communications Manager y Cisco Unified Communications Manager Session Management Edition (SME), podría permitir a un atacante remoto autenticado afectar la confidencialidad de un sistema afectado mediante la ejecución de consultas SQL arbitrarias. La vulnerabilidad se presenta porque el software afectado comprueba inapropiadamente la entrada suministrada por el usuario en consultas SQL. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones diseñadas que contienen sentencias SQL maliciosas hacia la aplicación afectada. Una explotación con éxito podría permitir al atacante determinar la presencia de ciertos valores en la base de datos, lo que afectaría la confidencialidad del sistema.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_communications_manager:10.5\(2.10000.5\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:11.5\(1.10000.6\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:12.0\(1.10000.10\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:12.5\(1.10000.22\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página