Notícias de dispositivos móveis, gadgets, aplicativos Android

Falha do Cisco Unified Communications Manager permite que invasor lance ataques de injeção de SQL

Uma vulnerabilidade de injeção de SQL foi descoberta na interface de gerenciamento baseada na Web do Cisco Unified Communications Manager (Unified CM) e do Cisco Unified Communications Manager Session Management Edition (Unified CM SME).

O Cisco Unified CM é usado para lidar com chamadas de voz e vídeo, enquanto o Cisco Unified CM SME é usado para inteligência de roteamento de sessão.

Esta vulnerabilidade de inje√ß√£o de SQL permite que um invasor remoto autenticado conduza ataques de inje√ß√£o de SQL em qualquer sistema afetado. No entanto, a Cisco lan√ßou atualiza√ß√Ķes de software para corrigir esta vulnerabilidade.

CVE-2023-20211: Vulnerabilidade de injeção SQL

Esta vulnerabilidade existe devido √† valida√ß√£o inadequada da entrada fornecida pelo usu√°rio. Um invasor pode se autenticar como usu√°rio somente leitura no aplicativo e explorar essa vulnerabilidade enviando solicita√ß√Ķes HTTP criadas para um sistema afetado.

O resultado de uma exploração bem-sucedida resulta na leitura ou modificação dos dados no sistema ou na execução de escalonamento de privilégios. A pontuação CVSS para esta vulnerabilidade é dada como 8.1 (Alto).

Produtos afetados

Os produtos afetados devido a esta vulnerabilidade incluem Cisco Unified CM e Cisco Unified CM SME. Além disso, a Cisco também mencionou que os produtos abaixo não são afetados por esta vulnerabilidade.

  • Respondente de emerg√™ncia
  • Delicadeza
  • Cumprimento de media√ß√£o de colabora√ß√£o hospedada (HCM-F)
  • Empresa de contact center em pacote (CCE em pacote)
  • Implanta√ß√£o de colabora√ß√£o principal
  • Gerenciador de licen√ßas Prime (PLM)
  • SocialMiner
  • Servi√ßo de IM e Presen√ßa do Unified Communications Manager (Unified CM IM&P)
  • Gerenciador unificado de dom√≠nio do Contact Center (CCDM unificado)
  • Contact Center Expresso Unificado (CCX Unificado)
  • Portal unificado de gerenciamento de contact center (CCMP unificado)
  • Centro Unificado de Intelig√™ncia
  • Conex√£o da Unidade
  • Navegador de voz virtualizado
N√≥s recomendamos:  Sony produziu outro prod√≠gio maravilhoso

Corrigido na vers√£o

Vers√£o Cisco Unified CM e Unified CM SME Primeira vers√£o fixa
11.5(1) Migre para uma vers√£o fixa.
12.5(1) 12.5(1)SU8
14 Aplicar arquivo de patch
ciscocm.V14SU3_CSCwe89928_sql-injection_C0194-1.cop.sha512.

Recomenda-se que os usuários desses produtos atualizem para a versão mais recente para evitar que os agentes de ameaças explorem esta vulnerabilidade.