Una falla en la interfaz de administración basada en web de Unity Connection cisco debe corregirse ahora. De hecho, Cisco ha descubierto un agujero de seguridad que permite a un atacante remoto no autenticado descargar archivos arbitrarios en un sistema en el que está instalada esta solución y ejecutar comandos en el sistema operativo subyacente. Unity Connection es una solución de mensajería unificada y correo de voz utilizada en varias soluciones de Cisco, incluido Jabber y sus terminales Unified IP Phone, pero también con varios teléfonos inteligentes y tabletas.

Identificada como CVE-2024-20272, esta falla se considera crítico. “Esta vulnerabilidad se debe a la falta de autenticación en una API específica y a una validación inadecuada de los datos proporcionados por el usuario. Un atacante puede aprovechar esta falla descargando archivos arbitrarios en un sistema afectado. Un exploit exitoso podría permitir al atacante almacenar archivos maliciosos en el sistema, ejecutar comandos arbitrarios en el sistema operativo y elevar sus privilegios a root. prevenido Cisco.

No existe una solución alternativa para abordar esta vulnerabilidad que afecta a Unity Connection, para la cual Cisco ha publicado actualizaciones de software correctivas para instalar lo antes posible.