Cisco ha solucionado una vulnerabilidad crítica (CVE-2024-20272) en Cisco Unity Connection que podría permitir que un atacante no autenticado cargue archivos arbitrarios y obtenga privilegios de root en el sistema afectado.
Cisco Unity Connection es una solución de mensajería unificada y correo de voz para bandeja de entrada de correo electrónico, navegador web, Cisco Jabber, teléfono IP de Cisco Unified, teléfono inteligente y tableta.
Acerca de CVE-2024-20272
CVE-2024-20272 es una vulnerabilidad de carga de archivos arbitrarios no autenticados en la interfaz de administración basada en web de Cisco Unity Connection que podría ser explotada por un actor de amenazas remoto no autenticado para cargar archivos arbitrarios en un sistema específico y ejecutar comandos en el sistema operativo subyacente. y obtener privilegios de root.
«Esta vulnerabilidad se debe a la falta de autenticación en una API específica y a una validación inadecuada de los datos proporcionados por el usuario», señaló Cisco en el aviso de seguridad.
CVE-2024-20272, informado por el consultor de desarrollo de software Maxim Suslov, afecta las versiones 12.5 (y anteriores) y 14 del software Cisco Unity Connection, pero no a la versión 15.
Se insta a los clientes a actualizar a las versiones fijas ya que no existen soluciones alternativas.
«El PSIRT de Cisco no tiene conocimiento de ningún anuncio público o uso malicioso de la vulnerabilidad que se describe en este aviso», afirmó la compañía.
Software de Cisco bajo ataque
Los atacantes suelen aprovechar las vulnerabilidades de las soluciones de Cisco.
En septiembre pasado, Cisco “arregló” una vulnerabilidad ( CVE-2023-20269 ) en los firewalls Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) que estaba siendo explotada en la naturaleza.
El mes siguiente, la empresa solucionó una vulnerabilidad de día cero explotada ( CVE-2023-20198 ) que afectaba a los dispositivos de red que ejecutaban el software Cisco IOS XE.
Fuente y redacción: helpnetsecurity.com