jueves, 6 de agosto de 2020

Cisco Unified Communications: 2 Vulnerabilidades día cero en todos los productos. No hay parche disponible

Especialistas en borrado seguro de disco duro reportan el hallazgo de dos vulnerabilidades críticas en la familia de productos Unified Communications, desarrollados por Cisco; hasta el momento no hay parches disponibles para corregir estas fallas.

A continuación se presentan breves reseñas de las fallas reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoting System (CVSS).

CVE-2020-3346: La inadecuada desinfección de los datos ingresados en la interfaz de usuario web permite a los actores de amenazas desplegar ataques de solicitudes entre sitios (XSS) enviando un enlace especialmente diseñado a la víctima con la intención de ejecutar HTML arbitrario.

Acorde a los expertos en borrado seguro de disco duro, la explotación de esta falla permitiría a los atacantes extraer información confidencial del sistema objetivo, modificar los aspectos gráficos de un sitio web atacado y realizar ataques de phishing. La vulnerabilidad recibió un puntaje de 5.6/10, por lo que se le considera una amenaza de baja seguridad.

CVE-2020-3532: La desinfección insuficiente de los datos proporcionados a la interfaz de administración web de los productos afectados permitiría a los hackers maliciosos desplegar ataques XSS en el contexto de un sitio web vulnerable. Los hackers sólo deben engañar a la víctima para que siga un enlace especialmente diseñado y ejecute HTML arbitrario.   

Esta falla recibió un puntaje de 5.6/10, por lo que su riesgo de explotación también se considera reducido, mencionan los especialistas en borrado seguro de disco duro.

A continuación se enlistan los productos y versiones afectadas por estas fallas:

  • Cisco Unified Communications Manager: 10.5(2)SU10, 11.5(1)SU8, 12.0(1)SU3, 12.5(1)SU2
  • Cisco Unified Communications Manager Session Management Edition: 10.5(2)SU10, 11.5(1)SU8, 12.0(1)SU3, 12.5(1)SU2
  • Cisco Unified Communications Manager IM & Presence Service: 10.5(2)SU4a, 11.5(1)SU8, 12.0(1), 12.5(1)SU2
  • Cisco Unity Connection: 10.5(2)SU10, 11.5(1)SU8, 12.0(1)SU3, 12.5(1)SU2

Las fallas reportadas pueden ser explotadas por atacantes remotos no autenticados; como se ha mencionado, un hacker tendría que enviar una solicitud especialmente diseñada a la aplicación afectada para completar el ataque. Por fortuna no todo son malas noticias, pues los especialistas no han detectado intentos de explotación de estas fallas.

Debido a que no hay parches de seguridad disponibles para corregir estas fallas, se recomienda a los usuarios potencialmente afectados ponerse en contacto con Cisco para saber más sobre las posibles soluciones alternativas a implementar.  

El cargo Cisco Unified Communications: 2 Vulnerabilidades día cero en todos los productos. No hay parche disponible apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario