Vulnerabilidad en la interfaz web de Cisco Unified Communications Manager y Cisco Unified Communications Manager Session Management Edition (CVE-2019-12711)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
02/10/2019
Última modificación:
09/10/2019
Descripción
Una vulnerabilidad en la interfaz web de Cisco Unified Communications Manager y Cisco Unified Communications Manager Session Management Edition (SME), podría permitir a un atacante remoto no autenticado acceder a información confidencial o causar una condición de denegación de servicio (DoS). La vulnerabilidad es debido a restricciones inapropiadas en las entidades XML. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones maliciosas hacia un sistema afectado que contenga referencias en entidades XML. Una explotación con éxito podría permitir al atacante recuperar archivos del sistema local, resultando en la divulgación de información confidencial, o causar que la aplicación consuma los recursos disponibles, resultando en una condición DoS.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_communications_manager:10.5\(2.10000.5\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:11.5\(1.10000.6\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:12.0\(1.10000.10\):*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_communications_manager:12.5\(1.10000.22\):*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página