Cisco publica parches para solucionar la vulnerabilidad crítica que afecta a los productos Unified Communications y Contact Center Solutions. La falla CVE-2024-20253 (CVSS score: 9.9) podría permitir a un atacante remoto y no autenticado ejecutar código arbitrario en un dispositivo.
Debido a la inadecuada manipulación de datos proporcionados por el usuario, un ataque exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario del servicio web. Los siguientes productos se ven afectados: Unified Communications Manager, Unified Communications Manager IM & Presence Service, Unified Communications Manager Session Management Edition, Unified Contact Center Express, Unity Connection y Virtualized Voice Browser.
Julien Egloff, investigador de seguridad de Synacktiv, descubrió e informó CVE-2024-20253. Cisco insta a los usuarios a establecer listas de control de acceso para limitar el acceso donde la aplicación de las actualizaciones no sea posible de forma inmediata.
Aunque no existen soluciones alternativas para abordar la vulnerabilidad, establecer ACL en dispositivos intermedios que separen el clúster de soluciones Cisco Unified Communications o Cisco Contact Center de los usuarios y el resto de la red puede ser útil.
Después de que Cisco enviara correcciones para una vulnerabilidad crítica de seguridad que afectaba a Unity Connection semanas antes (CVE-2024-20272, puntuación CVSS: 7.3), esta vulnerabilidad llega. No te quedes expuesto a las vulnerabilidades críticas de seguridad de tu dispositivo de red, actualízalo con las correcciones de Cisco lo antes posible.