Vulnerabilidad en páginas específicas dentro de la aplicación OAMP en el envío de peticiones HTTP en Operations, Administration, Maintenance y Provisioning (OAMP) OpsConsole Server de Cisco Unified Customer Voice Portal (CVP) (CVE-2019-16017)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
23/09/2020
Última modificación:
05/10/2020
Descripción
Una vulnerabilidad en Operations, Administration, Maintenance y Provisioning (OAMP) OpsConsole Server de Cisco Unified Customer Voice Portal (CVP), podría permitir a un atacante remoto autenticado ejecutar acciones de tipo Insecure Direct Object Reference en páginas específicas dentro de la aplicación OAMP. La vulnerabilidad es debido a una comprobación de entrada insuficiente en páginas específicas de la aplicación OAMP. Un atacante podría explotar esta vulnerabilidad mediante la autenticación en Cisco Unified CVP y enviando peticiones HTTP diseñadas. Una explotación con éxito podría permitir a un atacante con privilegios de administrador o de solo lectura obtenger información fuera de su alcance esperado. Un atacante con privilegios de administrador podría modificar determinados detalles de configuración de recursos fuera de su alcance definido, lo que podría resultar en una condición de denegación de servicio (DoS)
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_customer_voice_portal:*:*:*:*:*:*:*:* | 11.6\(1\)_es-11 (excluyendo) | |
| cpe:2.3:a:cisco:unified_customer_voice_portal:*:*:*:*:*:*:*:* | 12.0\(1\)_es-7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página