Cisco entró en 2024 con una vulnerabilidad crítica en su producto de mensajería unificada y correo de voz, Cisco Unity Connection.
cisco Aviso para CVE-2024-20272 Muestra que el error está en la interfaz de administración web de Unity Connection.
El error fue descubierto por Maxim Suslov. Cisco dijo que no tiene conocimiento de ningún exploit en la naturaleza.
«Esta vulnerabilidad se debe a una falta de autenticación en determinadas API y a una validación inadecuada de los datos proporcionados por el usuario», afirma el aviso.
Permite a un atacante cargar archivos arbitrarios en el sistema y ejecutar comandos del sistema operativo.
«Un exploit exitoso podría permitir al atacante almacenar archivos maliciosos en el sistema, ejecutar comandos arbitrarios en el sistema operativo y elevar privilegios a root», añade.
No existe ninguna solución para este error.
La vulnerabilidad afecta a Unity Connection versión 12.5 y anteriores; Y la versión 14. El firmware está disponible para ambas ramas y la versión 15 no es vulnerable.
Los usuarios deben tener en cuenta que las correcciones no están disponibles a través del Centro de descarga de software de Cisco; Más bien, es una versión de «ingeniería especial» y los clientes deben comunicarse con el Centro de asistencia técnica (TAC) de Cisco para obtener la solución.
«Estudiante amistoso. Jugador certificado. Evangelista de las redes sociales. Fanático de Internet. Se cae mucho. Futuro ídolo adolescente».