-
تاریخ: January 2022
-
شناسه: CVE-2022-20658
-
Platform & Service: Cisco Unified CCMP و Cisco Unified CCDM
-
CVSSv3: 6
-
فوریت: Critical
اخیرا یک آسیب پذیری در پنل مدیریتی تحت وب مربوط به Cisco Unified Contact Center Management Portal (Unified CCMP) و Cisco Unified Contact Center Domain Manager (Unified CCDM) کشف گردیده که میتواند به یک مهاجم احراز هویت شده اجازه دهد که از راه دور، دسترسی خود را به Administrator افزایش دهد.
دلیل این آسیبپذیری عدم تایید دسترسی کاربران به طرز صحیح است. مهاجم میتواند این آسیبپذیری را از طریق ارسال یک درخواست HTTP مخرب اکسپلویت کند و یک اکسپلویت موفق میتواند به ساخت یک حساب کاربری Administrator منجر شود. با این حساب کاربری، مهاجم قادر است User Resourceها را در تمامی پلتفرمهای آسیبپذیر مرتبط با Cisco Unified CCMP، تغییر دهد. به منظور دستیابی به اکسپلویت موفق، مهاجم به Advanced User Credential احتیاج دارد.
محصولات آسیب پذیر Cisco
این آسیبپذیری، Cisco Unified CCMP و Cisco Unified CCDM را در صورتی که با تنظیمات پیشفرض پیادهسازی شده باشند، تحت الشعاع قرار میدهد.
راهکار رفع آسیبپذیری
نسخه Patch شده | Cisco Unified CCMP/CCDM Release |
۱۱.۶.۱ ES17 | ۱۱.۶.۱ و قدیمی تر |
۱۲.۰.۱ ES5 | ۱۲.۰۱ |
۱۲.۵.۱ ES5 | ۱۲.۵.۱ |
آسیب پذیر نیست | ۱۲.۶.۱ |
منبع: