Cisco ha publicado 2 nuevos avisos de seguridad que contemplan 2 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 1 de severidad media afectando a los siguientes productos:
CVE-2023-20010 [CVSS: 8.1]
Vulnerabilidad de inyección SQL de Cisco Unified Communications Manager
La vulnerabilidad basada en la interfaz de administración basada en web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podría permitir que un atacante remoto autenticado realice ataques de inyección SQL en un sistema afectado.
Esto se debe porque la interfaz de administración basada en web valida de manera inadecuada la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad al autenticarse en la aplicación como un usuario con pocos privilegios y enviar consultas SQL manipuladas a un sistema afectado. Una explotación exitosa podría permitir que el atacante lea o modifique cualquier dato en la base de datos subyacente o eleve sus privilegios.
CVE-2023-20057 [CVSS: 4.7]
Vulnerabilidad de omisión de filtrado de URL del dispositivo de seguridad de correo electrónico de Cisco
Una vulnerabilidad en el mecanismo de filtrado de URL del software Cisco AsyncOS para Cisco Email Security Appliance (ESA) podría permitir que un atacante remoto no autenticado omita los filtros de reputación de URL en un dispositivo afectado.
Esta vulnerabilidad se debe a un procesamiento inadecuado de las URL. Un atacante podría explotar esta vulnerabilidad creando una URL de una manera particular. Una explotación exitosa podría permitir al atacante eludir los filtros de reputación de URL que están configurados para un dispositivo afectado, lo que podría permitir que las URL maliciosas pasen a través del dispositivo.
Ciberactores explotan vulnerabilidad de fortinet como zero-day |
Raccoon y Vidar Stealers mantienen sus operaciones vigentes
|
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Cisco Unified CM y Unified CM SME |
11.5(1) 12.5(1) 14 |
Cisco AsyncOS para Cisco ESA. |
todas las versiones |