Vulnerabilidades de inyección SQL y omisión de filtros de reputación de URLs en productos Cisco

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a productos Cisco, que permitirían a un atacante remoto autenticado realizar ataques de inyección SQL y la omisión de filtros de reputación de URLs en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación: 

  • CVE-2023-20010, de severidad “Alta”, con puntuación de 8.1. Esta vulnerabilidad se debe a una falla en la interfaz de administración web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME). Esto permitiría a un atacante remoto autenticado realizar ataques de inyección SQL en los sistemas afectados. 
  • CVE-2023-20057, de severidad “Media”, con puntuación de 4.7. Esta vulnerabilidad se debe a una falla en el mecanismo de filtrado de URL del software Cisco AsyncOS para Cisco Email Security Appliance (ESA).  Esto permitiría a un atacante remoto no autenticado realizar omisión de los filtros de reputación de URLs en el sistema afectado. 

Los productos afectados son:  

  • Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) versiones 11.5(1), 12.5(1) y 14. 
  •  Cisco AsyncOS para Cisco (ESA) todas las versiones.  

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

Referencias: 

Compartir: