Cisco ha lanzado actualizaciones de software para abordar una falla de seguridad crítica que afecta a Unity Connection y que podría permitir a un adversario ejecutar comandos arbitrarios en el sistema subyacente.
Seguimiento como CVE-2024-20272 (Puntuación CVSS: 7,3), la vulnerabilidad es un error de carga de archivos arbitrario que reside en la interfaz de administración basada en web y es el resultado de una falta de autenticación en una API específica y una validación inadecuada de los datos proporcionados por el usuario.
«Un atacante podría aprovechar esta vulnerabilidad cargando archivos arbitrarios en un sistema afectado», Cisco dicho en un aviso publicado el miércoles. «Un exploit exitoso podría permitir al atacante almacenar archivos maliciosos en el sistema, ejecutar comandos arbitrarios en el sistema operativo y elevar privilegios a root».
La falla afecta las siguientes versiones de Cisco Unity Connection. La versión 15 no es vulnerable.
- 12.5 y anteriores (corregido en la versión 12.5.1.19017-4)
- 14 (Corregido en la versión 14.0.1.14006-5)
Al investigador de seguridad Maxim Suslov se le atribuye el mérito de descubrir e informar la falla. Cisco no menciona que el error se esté explotando en la naturaleza, pero recomienda que los usuarios actualicen a una versión reparada para mitigar posibles amenazas.
Además del parche para CVE-2024-20272, Cisco también envió actualizaciones para resolver 11 vulnerabilidades de gravedad media que abarcan su software, incluido Identity Services Engine, WAP371 Wireless Access Point, ThousandEyes Enterprise Agent y TelePresence Management Suite (TMS).
Cisco, sin embargo, señaló que no tiene intención de publicar una solución para el error de inyección de comandos en WAP371 (CVE-2024-20287puntuación CVSS: 6,5), indicando que el dispositivo alcanzó el final de su vida útil (EoL) en junio de 2019. En su lugar, recomienda a los clientes migrar al punto de acceso Cisco Business 240AC.