Cisco avisos de seguridad. Cisco ha publicado 5 nuevos avisos de seguridad que contemplan 7 vulnerabilidades, las cuales se clasifican en 5 de severidad media y 2 de severidad crítica, afectando a productos como:
- Cisco Webex para Web (basado en la nube)
- Cisco Finesse
- Cisco Unified Intelligence Center
- Entre otros
Severidad media
CVE-2023-20104 [CVSS: 6.1]
Vulnerabilidad Cross-Site Scripting entre sitios web para la aplicación Cisco Webex
La falla se debe a una validación insuficiente de la entrada proporcionada por el
usuario. Un atacante podría explotar esta vulnerabilidad enviando un archivo arbitrario a un usuario y convenciéndolo para que busque una URL específica. Una explotación exitosa podría permitir que el atacante ejecute un código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceda a información confidencial basada en el navegador.
- Nota:Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.
CVE-2023-20088 [CVSS: 5.3]
Vulnerabilidad de denegación de servicio en Cisco Finesse Reverse Proxy Acceso sin VPN a Finesse Desktop
Esta vulnerabilidad se debe a un filtrado inadecuado de direcciones IP por parte del proxy inverso. Un atacante podría explotar esta vulnerabilidad enviando una serie de solicitudes no autenticadas al proxy inverso. Una explotación exitosa podría permitir que el atacante provoque que todo el tráfico actual y las solicitudes posteriores al proxy inverso a través de un balanceador de carga se eliminen, lo que resultaría en una
condición DoS.
- Nota:Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.
Vulnerabilidades de Cisco Unified Intelligence Center
CVE-2023-20061, [CVSS: 6.5]
Esta vulnerabilidad se debe a un nivel de detalle excesivo en una salida específica de la API REST. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante obtenga datos confidenciales, incluidas las credenciales cifradas para los servicios asociados al dispositivo afectado.
CVE-2023-20062 [CVSS: 5.0]
Esta vulnerabilidad se debe a una validación de entrada incorrecta para solicitudes HTTP específicas. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un sistema afectado. Una explotación exitosa podría permitir que el atacante envíe solicitudes de red arbitrarias provenientes del sistema afectado.
- Nota:Cisco ha lanzado actualizaciones de software que abordan esta
vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.
CVE-2023-20069 [CVSS: 5.4]
Vulnerabilidad Cross-Site Scripting entre sitios web almacenadas en Cisco Prime Infrastructure y Evolved Programmable Network Manager
Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de una interfaz afectada para que haga clic en un enlace manipulado. Una explotación exitosa podría permitir que el atacante ejecute un código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceda a información confidencial basada en el navegador. Para aprovechar esta vulnerabilidad, el atacante necesitaría tener credenciales válidas para acceder a la interfaz de administración basada en web del dispositivo afectado.
Severidad crítica
Vulnerabilidades de la interfaz de usuario web de los teléfonos IP de las series
6800, 7800, 7900 y 8800 de Cisco
CVE-2023-20078 [CVSS: 9.8]
Esta vulnerabilidad se debe a que falta una comprobación del tamaño del búfer que Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud manipulada a la interfaz de administración basada en web. Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado.
CVE-2023-20079 [CVSS: 7.5]
Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud manipulada a la interfaz de administración basada en web. Una explotación exitosa podría permitir que el atacante provoque una condición DoS.
- Nota:Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.
Para mitigar las vulnerabilidades de ambas severidades, se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Productos afectados
IP Phone 7800 Series with Multiplatform Firmware | Sí ejecutan una versión vulnerable del firmware multiplataforma de Cisco |
IP Phone 6800 Series with Multiplatform Firmware | Sí ejecutan una versión vulnerable del firmware multiplataforma de Cisco |
Cisco Unified Intelligence Center | 12.6 y anteriores |
Cisco Finesse | 12.6 (2) y anteriores |
Unified IP Conference Phone 8831 | Sí ejecutan una versión vulnerable de Cisco Multiplatform Firmware o Cisco Unified Software |
Cisco Webex para Web (basado en la nube) | |
Cisco Prime Infrastructure | anteriores a 3.10.3 |
Cisco EPN Manager | anteriores a 7.0 |
Unified IP Conference Phone 8831 with Multiplatform Firmware | Sí ejecutan una versión vulnerable de Cisco Multiplatform Firmware o Cisco Unified Software |
IP Phone 8800 Series with Multiplatform Firmware | Sí ejecutan una versión vulnerable del firmware multiplataforma de Cisco |
Unified IP Phone 7900 Series | Sí ejecutan una versión vulnerable de Cisco Multiplatform Firmware o Cisco Unified Software |
Cisco avisos de seguridad
Cisco avisos de seguridad
El rápido desarrollo de la automatización inteligente está marcando el inicio de una nueva era de productividad e innovación en las empresas.
El creciente interés por la Inteligencia Artificial y la modernización de las aplicaciones está incrementando el gasto de los servicios en la nube