Múltiples vulnerabilidades en productos Cisco
INCIBE-2023-0429
- Emergency Responder, versiones 12.5(1)SU4 y 14SU3;
- Prime Collaboration Deployment, versión 14SU3;
- Unified CM and Unified CM SME, versiones 12.5(1)SU7 y 14SU3;
- Unified CM IM&P, versiones 12.5(1)SU7 y 14SU3;
- Unity Connection, versión 14SU3.
Unas pruebas internas de seguridad realizadas por Cisco revelaron 2 vulnerabilidades, una de severidad crítica y otra alta, cuya explotación podría permitir a un atacante, remoto y no autenticado, iniciar sesión en un dispositivo afectado utilizando credenciales de root o elevar el uso de CPU provocando retrasos en el procesamiento de las llamadas.
Actualizar los productos afectados a las versiones correctoras indicadas en el apartado "Fixed Releases" de cada aviso.
Esta vulnerabilidad crítica se debe a la presencia de credenciales de usuario estáticas para la cuenta de root que suelen reservarse para su uso durante el desarrollo. Un atacante podría explotar esta vulnerabilidad utilizando la cuenta para iniciar sesión en un sistema afectado y ejecutar comandos arbitrarios como root. Se ha asignado el identificador CVE-2023-20101 para esta vulnerabilidad.
La vulnerabilidad de severidad alta tiene asignada el identificador CVE-2023-20259.
