Origine : bjCSIRT

Numéro : 2024/ALERTE/002

Date de l’alerte : 11/01/2024

APERÇU :

Une vulnérabilité dans l’interface de gestion Web de Cisco Unity Connection permettrait à un attaquant distant non authentifié de téléverser des fichiers arbitraires sur un système affecté et d’exécuter des commandes sur le système d’exploitation sous-jacent.

DESCRIPTION :

Cisco Unity Connection, une plateforme de messagerie unifiée, permet aux utilisateurs de gérer leurs messages depuis diverses sources. Cette solution offre une variété d’options d’accès aux messages et de formats de livraison flexibles.

Libellée sous le CVE-2024-20272, cette vulnérabilité est due à un manque d’authentification dans une API et une mauvaise validation des données fournies par l’utilisateur. L’exploitation de cette vulnérabilité par un acteur malveillant lui permettrait de stocker des fichiers malicieux sur le système, d’exécuter des commandes arbitraires sur le système et d’élever ses privilèges au niveau root.

Cette vulnérabilité est de sévérité Critique et son score est de 7.3.

IMPACT :

• Compromission du Système.

SYSTÈMES AFFECTÉS : 

• Cisco Unity Connection version antérieure à 12.5 ;
• Cisco Unity Connection version 14.

MESURES À PRENDRE : 

Appliquer la dernière mise à jour de sécurité. 

RÉFÉRENCES :

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuc-unauth-afu-FROYsCsD
• https://vuldb.com/?id.250321
• https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-cuc-unauth-afu-FROYsCsD.html