Vulnerabilidad en Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager IM &amp; Presence Service (Unified CM IM&amp;P), y Cisco Unity Connection (CVE-2022-20859)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

06/07/2022

Última modificación:

07/11/2023

Descripción

Una vulnerabilidad en el marco de Recuperación de Desastres de Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager IM &amp; Presence Service (Unified CM IM&amp;P), y Cisco Unity Connection podría permitir a un atacante autenticado y remoto llevar a cabo determinadas acciones administrativas que no deberían poder. Esta vulnerabilidad es debido a una comprobación de control de acceso insuficiente en el dispositivo afectado. Un atacante con privilegios de sólo lectura podría explotar esta vulnerabilidad al ejecutar un comando vulnerable específico en un dispositivo afectado. Una explotación con éxito podría permitir al atacante llevar a cabo una serie de acciones administrativas que no debería poder realizar

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.00 ALTA
Vector: AV:N/AC:L/Au:S/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo

Puntuación base 2.0

9.00

Gravedad 2.0

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:cisco:unified_communications_manager::::::::	14.0 (incluyendo)	14su2 (excluyendo)
cpe:2.3:a:cisco:unified_communications_manager_im_and_presence_service::::::::	14.0 (incluyendo)	14.0su2 (excluyendo)
cpe:2.3:a:cisco:unity_connection::::::::	14.0 (incluyendo)	14su2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucm-access-dMKvV2DY

Vulnerabilidad en Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager IM &amp;amp; Presence Service (Unified CM IM&amp;amp;P), y Cisco Unity Connection (CVE-2022-20859)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información

Vulnerabilidad en Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), y Cisco Unity Connection (CVE-2022-20859)