Vulnerabilidad en la función phone book de Expressway Series y TelePresence Video Communication Server (CVE-2019-1721)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

18/04/2019

Última modificación:

07/10/2020

Descripción

Una vulnerabilidad en la función phone book de Expressway Series y TelePresence Video Communication Server (VCS) de Cisco podría permitir que un atacante remoto autorizado haga que la CPU aumente al 100% de utilización, lo que causa una condición de denegación de servicio (DoS) en un sistema afectado. La vulnerabilidad es debido a un manejo inadecuado de la entrada XML. Un atacante podría aprovechar esta vulnerabilidad enviando un mensaje de Protocolo de Inicio de Sesión (SIP) con una carga XML creada a un dispositivo afectado. Una explotación con éxito podría permitirle al atacante agotar los recursos de la CPU, lo que resultaría en una condición DoS. Puede requerirse intervención manual para recuperar el dispositivo. Esta vulnerabilidad se corrigió en las versiones de Expressway Series y TelePresence Video Communication Server de Cisco X12.5.1 y posteriores.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Completo