Vulnérabilité critique de type téléversement de fichiers arbitraires sur Cisco Unity Connection

Cisco Unity Connection, une plateforme de messagerie unifiée, permet aux utilisateurs de gérer leurs messages depuis diverses sources. Cette solution offre une variété d’options d’accès aux messages et de formats de livraison flexibles.

Libellée sous le CVE-2024-20272, cette vulnérabilité est due à un manque d’authentification dans une API et une mauvaise validation des données fournies par l’utilisateur. L’exploitation de cette vulnérabilité par un acteur malveillant lui permettrait de stocker des fichiers malicieux sur le système, d’exécuter des commandes arbitraires sur le système et d’élever ses privilèges au niveau root.

Cette vulnérabilité est de sévérité Critique et son score est de 7.3

RISQUE DE SÉCURITÉ

  • Compromission du Système

SYSTÈMES AFFECTÉS

  • Cisco Unity Connection version antérieure à 12.5
  • Cisco Unity Connection version 14

MESURES À PRENDRE

  • Appliquer la dernière mise à jour de sécurité


Source: bjCSIRT