Cisco - CVE-2023-20259
Date de publication :
Un défaut de contrôle de l’authentification d’une API dans plusieurs appareils Cisco permet à un attaquant non authentifié, en envoyant des requêtes HTTP spécifiquement forgées, de provoquer une utilisation élevée du processeur et entraîner un déni de service.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-400: Uncontrolled Resource Consumption
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Cisco Emergency Responder version 14SU3
Cisco Prime Collaboration Deployment version 14SU3
Cisco Unified Communications Manager (Unified CM) version 14SU3
Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) version 14SU3
Cisco Unified Communications Manager Session Management Edition (Unified CM SME) version 14SU3
Cisco Unity Connection version 14SU3
Solutions ou recommandations
Appliquer le correctif ciscocm.cer_V14SU3_CSCwf62074.cop.sha512 sur Cisco Emergency Responder.
Appliquer le correctif ciscocm.V14SU3_pcd_CSCwf62080.k4.cop.sha512 sur Cisco Prime Collaboration Deployment.
Appliquer le correctif ciscocm.V14SU3_CSCwf44755.cop.sha512 sur Cisco Unified Communications Manager (Unified CM) et Cisco Unified Communications Manager Session Management Edition (Unified CM SME).
Appliquer le correctif ciscocm.cup_CSCwf62094_14SU3.cop.sha512 sur Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P).
Appliquer le correctif ciscocm.cuc.V14SU3_CSCwf62081.k4.cop.sha512 sur Cisco Unity Connection.
Des informations complémentaires sont disponibles dans le bulletin de Cisco.