Mises à jour de sécurité : une faille d’administration menace Cisco Unified Contact Manager

Des pirates pourraient s’attaquer aux centres d’appels qui s’appuient sur Cisco Unified Contact Center Management Portal (Unified CCMP) et Unified Contact Center Domain Manager (Unified CCDM). Des mises à jour de sécurité sont également disponibles pour Enterprise Chat et Prime Access Registrar Appliance, entre autres.

La faille (CVE-2022-20658) dans Unified CCMP et Unified CCDM est décrite comme « .critique« . Dans un message d’avertissement, Cisco détaille les attaques possibles : Si les attaquants disposent d’informations d’identification utilisateur étendues, ils pourraient s’attaquer à la vulnérabilité de l’interface de gestion basée sur le Web. Comme il n’y a pas de validation des droits d’utilisateur côté serveur, une requête HTTP préparée peut déclencher des erreurs.

Si tout se passe bien, les pirates devraient pouvoir créer des comptes d’administration et modifier entre autres les ressources téléphoniques. Selon l’équipementier réseau, la version 12.6.1 n’est pas concernée. Les dépenses 11.6.1 ES17, 12.0.1 ES5 et 12.5.1 ES5 sont protégés contre de telles attaques.

Les lacunes restantes sont classées avec le niveau de menace « moyen« . Une fois l’attaque réussie, les attaquants pourraient par exemple lancer des attaques XSS sur Prime Infrastructure ou faire fuiter des informations d’Adaptive Security Device Manager.

Les administrateurs trouveront plus d’informations sur les failles et les mises à jour de sécurité dans les alertes liées à ce message.

Liste triée par ordre décroissant du niveau de menace :

  • Portail de gestion du centre de contact unifié et gestionnaire de domaine du centre de contact unifié Escalade des privilèges
  • Injection de commande de pénétration
  • Prime Infrastructure et gestionnaire de réseau programmable évolué
  • Analyse réseau sécurisée Scripting intersite
  • Chat et messagerie d’entreprise
  • Scripting intersite du gestionnaire de sécurité
  • Adaptive Security Device Manager – Divulgation d’informations
  • Appliance Prime Access Registrar Cross-Site Scripting
  • Divulgation d’informations sur les téléphones IP

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici