Alertas

Vulnerabilidad de escalada de privilegios en el portal de gestión de Cisco Unified Contact Center y en el administrador de dominios de Unified Contact Center (CVE-2022-20658)

Una vulnerabilidad en la interfaz de gestión basada en la web de Cisco Unified Contact Center Management Portal (Unified CCMP) y Cisco Unified Contact Center Domain Manager (Unified CCDM) podría permitir a un atacante remoto autenticado elevar sus privilegios a Administrador [1].

17 Jan 2022

ANÁLISIS

Esta vulnerabilidad (CVE-2022-20658) se debe a la falta de validación del lado del servidor de los permisos de usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a un sistema vulnerable. Una explotación exitosa podría permitir al atacante crear cuentas de administrador. Con estas cuentas, el atacante podría acceder y modificar los recursos de telefonía y de usuario en todas las plataformas Unified que estén asociadas al CCMP vulnerable de Cisco Unified. Para explotar con éxito esta vulnerabilidad, un atacante necesitaría credenciales válidas de Usuario Avanzado [2].

Esta vulnerabilidad afecta a Cisco Unified CCMP y Cisco Unified CCDM si se ejecutan con la configuración por defecto.

Versiones afectadas:

11.6.1 ES17
12.0.1 ES5
12.5.1 ES5

Versiones no afectadas:

12.6.1

RECOMENDACIONES

Cisco ha publicado actualizaciones de software que abordan esta vulnerabilidad [2].

REFERENCIAS
[1] NVD - CVE-2022-20658 (nist.gov)
[2] Cisco Unified Contact Center Management Portal and Unified Contact Center Domain Manager Privilege Escalation Vulnerability

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.

Vulnerabilidad de escalada de privilegios en el portal de gestión de Cisco Unified Contact Center y en el administrador de dominios de Unified Contact Center (CVE-2022-20658)

ANÁLISIS

RECOMENDACIONES

REFERENCIAS
[1] NVD - CVE-2022-20658 (nist.gov)
[2] Cisco Unified Contact Center Management Portal and Unified Contact Center Domain Manager Privilege Escalation Vulnerability

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día

Vulnerabilidad de escalada de privilegios en el portal de gestión de Cisco Unified Contact Center y en el administrador de dominios de Unified Contact Center (CVE-2022-20658)

ANÁLISIS

RECOMENDACIONES

REFERENCIAS [1] NVD - CVE-2022-20658 (nist.gov) [2] Cisco Unified Contact Center Management Portal and Unified Contact Center Domain Manager Privilege Escalation Vulnerability

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día

REFERENCIAS
[1] NVD - CVE-2022-20658 (nist.gov)
[2] Cisco Unified Contact Center Management Portal and Unified Contact Center Domain Manager Privilege Escalation Vulnerability