Cisco ha lanzado actualizaciones de software para solucionar una falla crítica de seguridad que afecta Unity Connection y que podría permitir que un adversario ejecute comandos arbitrarios en el sistema subyacente.
La vulnerabilidad, rastreada como CVE-2024-20272 (puntuación CVSS: 7,3), es un error de carga de archivo arbitrario que reside en la interfaz de gestión basada en web y es resultado de la falta de autenticación en una API específica y la validación inadecuada de los datos suministrados por el usuario.
«Un atacante podría explotar esta vulnerabilidad cargando archivos arbitrarios en un sistema afectado», dijo Cisco en un aviso lanzado el miércoles. «Un ataque exitoso podría permitir al atacante almacenar archivos maliciosos en el sistema, ejecutar comandos arbitrarios en el sistema operativo y elevar los privilegios al nivel de root».
La falla afecta las siguientes versiones de Cisco Unity Connection. La Versión 15 no es vulnerable.
12.5 y anteriores (Solucionado en la versión 12.5.1.19017-4)
14 (Solucionado en la versión 14.0.1.14006-5)
El investigador de seguridad Maxim Suslov ha sido acreditado con el descubrimiento y reporte de la falla. Cisco no menciona que esta falla haya sido explotada en la práctica, pero se recomienda a los usuarios que actualicen a una versión solucionada para mitigar posibles amenazas.
Además del parche para CVE-2024-20272, Cisco ha enviado actualizaciones para resolver 11 vulnerabilidades de severidad media en su software, incluyendo Identity Services Engine, WAP371 Wireless Access Point, ThousandEyes Enterprise Agent y TelePresence Management Suite (TMS).
Sin embargo, Cisco señaló que no tiene la intención de lanzar una solución para el error de inyección de comando en WAP371 (CVE-2024-20287, puntuación CVSS: 6,5), indicando que el dispositivo ha llegado al final de su vida útil (EoL) en junio de 2019. En su lugar, se recomienda a los clientes que migren al punto de acceso Cisco Business 240AC.
