Vulnérabilité corrigée dans les produits Cisco (AL01/240125/CSIRT-ITA)

Synthèse

Les mises à jour de sécurité Cisco corrigent une vulnérabilité de gravité « critique » relative aux produits Cisco Unified Communications et Contact Center Solutions. Cette vulnérabilité, si elle est exploitée, pourrait permettre à un attaquant distant non authentifié d’exécuter des commandes arbitraires sur les systèmes cibles.

Risque

Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (66,53/100)¹.

Typologie

• Remote Code Execution

Produits et/ou versions concernés

Cisco

• Packaged Contact Center Enterprise (PCCE)
• Unified Communications Manager (Unified CM)
• Unified Communications Manager IM & Presence Service (Unified CM IM&P)
• Unified Communications Manager Session Management Edition (Unified CM SME)
• Unified Contact Center Enterprise (UCCE)
• Unified Contact Center Express (UCCX)
• Unity Connection
• Virtualized Voice Browser (VVB)

Mesures d’atténuation

Conformément aux déclarations du fournisseur, il est recommandé d’appliquer les atténuations disponibles en suivant les indications rapportées dans les bulletins de sécurité dans la section Références.

Identificateurs de vulnérabilité uniques

CVE-2024-20253

Références

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm

¹Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.