Vulnerabilidad en el envío de una petición HTTP en Cisco Unified Contact Center Management Portal (Unified CCMP) y Cisco Unified Contact Center Domain Manager (Unified CCDM) (CVE-2022-20658)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-669
Transferencia incorrecta de recursos entre esferas
Fecha de publicación:
14/01/2022
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Contact Center Management Portal (Unified CCMP) y Cisco Unified Contact Center Domain Manager (Unified CCDM) podría permitir a un atacante remoto autenticado elevar sus privilegios a la categoría de administrador. Esta vulnerabilidad es debido a una falta de comprobación del lado del servidor de los permisos de usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada a un sistema vulnerable. Una explotación con éxito podría permitir al atacante crear cuentas de administrador. Con estas cuentas, el atacante podría acceder y modificar los recursos de telefonía y de usuario en todas las plataformas Unified que estén asociadas al CCMP vulnerable de Cisco Unified. Para explotar con éxito esta vulnerabilidad, un atacante necesitaría credenciales válidas de Usuario Avanzado
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
8.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_contact_center_express:12.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_contact_center_express:12.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cisco:unified_contact_center_management_portal:*:*:*:*:*:*:*:* | 11.6.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página