Vulnerabilidad en Cisco Unified Communications Manager y Cisco Unified Communications Manager Session Management Edition (CVE-2023-20010)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
20/01/2023
Última modificación:
25/01/2024
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podría permitir que un atacante remoto autenticado realice ataques de inyección SQL en un sistema afectado. Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida adecuadamente la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad autenticándose en la aplicación como un usuario con pocos privilegios y enviando consultas SQL manipuladas a un sistema afectado. Un exploit exitoso podría permitir al atacante leer o modificar cualquier dato en la base de datos subyacente o elevar sus privilegios.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:unified_communications_manager:*:*:*:*:session_management:*:*:* | 12.5\(1\)su7 (excluyendo) | |
| cpe:2.3:a:cisco:unified_communications_manager:*:*:*:*:-:*:*:* | 11.5\(1\) (incluyendo) | 12.5\(1\)su7 (excluyendo) |
| cpe:2.3:a:cisco:unified_communications_manager:*:*:*:*:-:*:*:* | 14.0 (incluyendo) | 14su2 (excluyendo) |
| cpe:2.3:a:cisco:unified_communications_manager:*:*:*:*:session_management:*:*:* | 14.0 (incluyendo) | 14su2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página