Falla crítica en Cisco Unified Communications Manager

Cisco corrigió una falla de inyección SQL de alta gravedad, rastreada como CVE-2023-20010 (puntaje CVSS de 8.1), en Unified Communications Manager y Unified Communications Manager Session Management Edition.
La vulnerabilidad CVE-2023-20010 reside en la interfaz de administración basada en la web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME), un atacante remoto autenticado puede activarla para realizar ataques de inyección SQL a un sistema vulnerable. "Esta vulnerabilidad existe porque la interfaz de administración basada en la web valida de manera inadecuada la entrada del usuario".
Un atacante remoto podría explotar la vulnerabilidad autenticando en la aplicación como un usuario de bajos privilegios y enviar consultas SQL al sistema afectado, lo que permitirá leer o modificar cualquier dato en la base de datos subyacente y escalar sus privilegios.
Fuente: SecurityAffairs
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!