CH azonosító
CH-14295Angol cím
Cisco Voice Operating System-Based products vulnerabilityFelfedezés dátuma
2017.11.14.Súlyosság
MagasÉrintett rendszerek
CISCOÉrintett verziók
Cisco Unified Communications Manager (UCM)
Cisco Unified Communication Manager Session Management Edition (SME)
Cisco Emergency Responder
Cisco Unity Connection
Cisco Unified Communications Manager IM and Presence Service (IM&P; earlier releases were known as Cisco Unified Presence)
Cisco Prime License Manager
Cisco Hosted Collaboration Mediation Fulfillment
Cisco Unified Contact Center Express (UCCx)
Cisco SocialMiner
Cisco Unified Intelligence Center (UIC)
Cisco Finesse
Cisco MediaSense
Összefoglaló
A Cisco Voice operációs rendszer alapú termékek sérülékenysége vált ismertté, melyet kihasználva a támadó jogosulatlanul, kiterjesztett jogosultságokat szerezhet a rendszeren.
Leírás
A sérülékenység akkor használható ki, ha a rendszeren frissítést vagy Prime Collaboration Deployment (PCD) migrációt hajtottak végre. Mivel a feladat befejezése után egy flag továbbra is engedélyezve marad, az SFTP hozzáféréssel rendelkező támadó root jogosultságot szerezhet az érintett eszközön.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
System access (Rendszer hozzáférés)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
CVE-2017-12337 - NVD CVE-2017-12337