Vulnerabilidad en entradas XML External Entity (XXE) en la interfaz de administración basada en web del Cisco Hosted Collaboration Mediation Fulfillment (HCM-F) Software (CVE-2020-3256)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
06/05/2020
Última modificación:
12/05/2020
Descripción
Una vulnerabilidad en la interfaz de administración basada en web del Cisco Hosted Collaboration Mediation Fulfillment (HCM-F) Software, podría permitir a un atacante remoto autenticado conseguir acceso de lectura a la información que es almacenada sobre un sistema afectado. Para explotar esta vulnerabilidad, un atacante necesitaría privilegios administrativos en el Cisco HCM-F Software. La vulnerabilidad es debido al manejo inapropiado de entradas XML External Entity (XXE) cuando se analizan determinados archivos XML. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones maliciosas que contienen referencias en entidades XML hacia un sistema afectado. Una explotación con éxito podría permitir a un atacante recuperar archivos desde el sistema local, resultando una divulgación de información confidencial.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:hosted_collaboration_mediation_fulfillment:*:*:*:*:*:*:*:* | 12.5\(1\)su2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página