Las actualizaciones de seguridad abordan múltiples vulnerabilidades nuevas que afectan a varios productos de Cisco. Un actor malicioso podría explotar estas vulnerabilidades para producir denegación de servicios o escalada de privilegios.
Productos afectados
- Cisco Unified Contact Center Express, todas las versiones anteriores a la última.
- Cisco Unified Intelligence Center, todas las versiones anteriores a la última.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-20152: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad de lectura fuera de límites. Esta podría permitir que un actor malicioso remoto no autenticado provoque una denegación de servicio en un dispositivo afectado.
CVE-2025-20113: con una puntuación de 7.1 en CVSS v3.1. Existe una vulnerabilidad de validación insuficiente del lado del servidor de los parámetros proporcionados por el usuario en las solicitudes API o HTTP. Esta podría permitir que un actor malicioso remoto autenticado eleve privilegios a administrador para un conjunto limitado de funciones en un sistema afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-restart-ss-uf986G2Q
https://www.cve.org/CVERecord?id=CVE-2025-20152
https://www.cve.org/CVERecord?id=CVE-2025-20113
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuis-priv-esc-3Pk96SU4