Menos de quince días después de la Se corrigió la vulnerabilidad crítica CVE-2024-20272 En la interfaz de gestión web Unity Connection de Cisco se ha descubierto un último fallo, igualmente importante (su puntuación CVSS es de 9,9/10), que es objeto de varias actualizaciones publicadas por el fabricante de equipos de red para que se apliquen lo antes posible. Esta vez, el alcance es mucho más amplio, ya que este fallo, referenciado como CVE-2024-20253, no solo afecta a Unity Connection, sino a muchas otras soluciones de Cisco. En concreto, en concreto: Unified Communications Manager, IM & Presence Service, Session Management Edition, Contact Center Express (UCCX) y Virtualized Voice Browser (VVB).

Esta falla podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo afectado. "La vulnerabilidad se debe a un manejo inadecuado de los datos proporcionados por el usuario que se leen desde la memoria. Un atacante puede aprovechar esta vulnerabilidad enviando un mensaje diseñado a un puerto de escucha en un sistema afectado". prevenido Cisco En un boletín de seguridad se afirma que "un ataque exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de los servicios web. Al obtener acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado".

No se ofrece ninguna solución alternativa

Cabe señalar que no existe una solución alternativa para este problema de seguridad, por lo que es necesario aplicar actualizaciones de parches para protegerse. "Los clientes con contratos de servicio que les den derecho a actualizaciones de software periódicas deben obtener parches de seguridad a través de sus canales de actualización habituales", afirmó la empresa. "Los clientes solo pueden instalar y esperar recibir soporte para las versiones de software y los conjuntos de funciones para los que hayan adquirido una licencia".

Cisco también aclaró que los siguientes sistemas no están afectados por CVE-2024-20253: Customer Collaboration Portal, Voice Portal, Emergency Responder, Finesse, Hosted Collaboration Mediation Fulfillment, Packaged Contact Center Enterprise, Prime Collaboration Deployment and License Manager, Remote Expert Mobile, así como Unified Contact Center Domain Manager, Center Enterprise, Management Portal y Unified Intelligence Center.