Cisco anuncia nuevas vulnerabilidades en sus productos

Cisco ha publicado 2 nuevos avisos de seguridad que contemplan 2 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 1 de severidad media afectando a los siguientes productos:

• Cisco Unified CM y Unified CM SME
• Cisco AsyncOS para Cisco ESA

CVE-2023-20010 [CVSS: 8.1]
Vulnerabilidad de inyección SQL de Cisco Unified Communications Manager

La vulnerabilidad basada en la interfaz de administración basada en web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podría permitir que un atacante remoto autenticado realice ataques de inyección SQL en un sistema afectado. 

Esto se debe porque la interfaz de administración basada en web valida de manera inadecuada la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad al autenticarse en la aplicación como un usuario con pocos privilegios y enviar consultas SQL manipuladas a un sistema afectado. Una explotación exitosa podría permitir que el atacante lea o modifique cualquier dato en la base de datos subyacente o eleve sus privilegios.

CVE-2023-20057 [CVSS: 4.7]
Vulnerabilidad de omisión de filtrado de URL del dispositivo de seguridad de correo electrónico de Cisco

Una vulnerabilidad en el mecanismo de filtrado de URL del software Cisco AsyncOS para Cisco Email Security Appliance (ESA) podría permitir que un atacante remoto no autenticado omita los filtros de reputación de URL en un dispositivo afectado.

Esta vulnerabilidad se debe a un procesamiento inadecuado de las URL. Un atacante podría explotar esta vulnerabilidad creando una URL de una manera particular. Una explotación exitosa podría permitir al atacante eludir los filtros de reputación de URL que están configurados para un dispositivo afectado, lo que podría permitir que las URL maliciosas pasen a través del dispositivo.

• Nota: No hay soluciones alternativas que aborden esta vulnerabilidad.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.