Cisco corrigió una falla de inyección SQL de alta gravedad, rastreada como CVE-2023-20010 (puntaje CVSS de 8.1), en Unified Communications Manager y Unified Communications Manager Session Management Edition.
La vulnerabilidad CVE-2023-20010 reside en la interfaz de administración basada en la web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME), un atacante remoto autenticado puede activarla para realizar ataques de inyección SQL a un sistema vulnerable. “Esta vulnerabilidad existe porque la interfaz de administración basada en la web valida de manera inadecuada la entrada del usuario”.
Un atacante remoto podría explotar la vulnerabilidad autenticando en la aplicación como un usuario de bajos privilegios y enviar consultas SQL al sistema afectado, lo que permitirá leer o modificar cualquier dato en la base de datos subyacente y escalar sus privilegios.
Un atacante podría explotar esta vulnerabilidad al autenticarse en la aplicación como un usuario con pocos privilegios y enviar consultas SQL manipuladas a un sistema afectado. Una explotación exitosa podría permitir que el atacante lea o modifique cualquier dato en la base de datos subyacente o eleve sus privilegios.
La falla afecta a las versiones 11.5(1), 12.5(1) y 14 de Cisco Unified CM y Unified CM SME.
La empresa aconseja a los clientes que actualicen a la última versión aunque Cisco no tiene conocimiento de ataques en la naturaleza sobre esta vulnerabilidad.
Fuente: https://blog.segu-info.com.ar/2023/01/falla-critica-en-cisco-unified.html