Vulnerabilidad en Cisco Unified CCX (CVE-2025-20277)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

04/06/2025

Última modificación:

05/06/2025

Descripción

Una vulnerabilidad en la interfaz de administración web de Cisco Unified CCX podría permitir que un atacante local autenticado ejecute código arbitrario en un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas. Esta vulnerabilidad se debe a una limitación incorrecta de una ruta de acceso a un directorio restringido (path traversal). Un atacante podría explotar esta vulnerabilidad enviando una solicitud web manipulada a un dispositivo afectado, seguida de un comando específico a través de una sesión SSH. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario en el sistema operativo subyacente de un dispositivo afectado como un usuario con privilegios bajos. Una explotación exitosa también podría permitir al atacante realizar acciones adicionales para elevar sus privilegios a root.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.40 BAJA
Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.40

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-multi-UhOTvPGL