Cisco - CVE-2024-20253
Date de publication :
Une désérialisation non sécurisée d’objets Java dans certains produits Cisco permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire sur le système sous-jacent avec les privilèges du service web.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-502: Deserialization of Untrusted Data
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Les produits Cisco suivants
• Packaged Contact Center Enterprise (PCCE) versions 12.5 et antérieures
• Unified Communications Manager (Unified CM) versions 11.5, 12.5 et 14
• Unified Communications Manager Session Management Edition (Unified CM SME) versions 11.5, 12.5 et 14
• Unified Communications Manager IM & Presence Service (Unified CM IM&P) versions 11.5, 12.5 et 14
• Unity Connection versions 11.5, 12.5 et 14
• Unified Contact Center Enterprise (UCCE) versions 12.5 et antérieures
• Unified Contact Center Express (UCCX) versions 12.5 et antérieures
• Virtualized Voice Browser (VVB) versions 12.5 et antérieures
Solutions ou recommandations
Mettre à jour Packaged Contact Center Enterprise (PCCE) vers la version 12.5 ucos.v1_java_deserial-CSCwd64245.cop.sgn, 15 ou ultérieure.
Mettre à jour Unified Communications Manager (Unified CM) vers la version 12.5(1)SU8, 14SU3, ciscocm.v1_java_deserial-CSCwd64245.cop.sha512, 15 ou ultérieure.
Mettre à jour Unified Communications Manager Session Management Edition (Unified CM SME) vers la version 12.5(1)SU8, 14SU3, ciscocm.v1_java_deserial-CSCwd64245.cop.sha512, 15 ou ultérieure.
Mettre à jour Unified Communications Manager IM & Presence Service (Unified CM IM&P) vers la version 12.5(1)SU8, 14SU3, ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512, 15 ou ultérieure.
Mettre à jour Unity Connection vers la version 12.5(1)SU8, 14SU3, ciscocm.cuc.v1_java_deserial-CSCwd64292.k4.cop.sha512, 15 ou ultérieure.
Mettre à jour Unified Contact Center Enterprise (UCCE) vers la version ucos.v1_java_deserial-CSCwd64245.cop.sgn, 15 ou ultérieure.
Mettre à jour Unified Contact Center Express (UCCX) vers la version ucos.v1_java_deserial-CSCwd64245.cop.sgn, 15 ou ultérieure.
Mettre à jour Virtualized Voice Browser (VVB) vers la version ucos.v1_java_deserial-CSCwd64245.cop.sgn, 15 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Cisco.