Cisco lanza actualizaciones de seguridad para múltiples productos

AS-005-2022

Fecha: 14/Ene/2022

Resumen:

Cisco ha lanzado actualizaciones de seguridad para abordar una vulnerabilidad que afecta al Portal de administración del centro de contacto unificado de Cisco (CCMP unificado) y al Administrador de dominio del centro de contacto unificado de Cisco (CCDM unificado). Un atacante remoto podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado.

Rastreado como CVE-2022-20658 (puntuación CVSS de 9.6), el problema existe porque no hubo validación del lado del servidor de los permisos de usuario, lo que permitió a un atacante enviar una solicitud HTTP diseñada para aprovechar el error en un sistema vulnerable.

Un exploit exitoso podría permitir al atacante crear cuentas de administrador. Con estas cuentas, el atacante podría acceder y modificar los recursos de telefonía y usuario en todas las plataformas unificadas asociadas a Cisco Unified CCMP.

Recomendaciones:

Aplicar las actualizaciones necesarias tan pronto sea posible.

Referencias:

https://www.cisa.gov/uscert/ncas/current-activity/2022/01/13/cisco-releases-security-updates-multiple-products

https://securityaffairs.co/wordpress/126684/security/cisco-unified-ccmp-unified-ccdm-flaw.html

https://www.securityweek.com/cisco-patches-critical-vulnerability-contact-center-products