Cisco - CVE-2024-20253

Date de publication :

Une désérialisation non sécurisée d’objets Java dans certains produits Cisco permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire sur le système sous-jacent avec les privilèges du service web.

CVE-2024-20253

[Score CVSS v3.1 : 9.9]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire
Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-502: Deserialization of Untrusted Data

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Les produits Cisco suivants

•    Packaged Contact Center Enterprise (PCCE) versions 12.5 et antérieures
•    Unified Communications Manager (Unified CM) versions 11.5, 12.5 et 14
•    Unified Communications Manager Session Management Edition (Unified CM SME) versions 11.5, 12.5 et 14
•    Unified Communications Manager IM & Presence Service (Unified CM IM&P) versions 11.5, 12.5 et 14
•    Unity Connection versions 11.5, 12.5 et 14
•    Unified Contact Center Enterprise (UCCE) versions 12.5 et antérieures
•    Unified Contact Center Express (UCCX) versions 12.5 et antérieures
•    Virtualized Voice Browser (VVB) versions 12.5 et antérieures

Solutions ou recommandations

Mettre à jour Packaged Contact Center Enterprise (PCCE) vers la version 12.5 ucos.v1_java_deserial-CSCwd64245.cop.sgn, 15 ou ultérieure.
Mettre à jour Unified Communications Manager (Unified CM) vers la version 12.5(1)SU8, 14SU3, ciscocm.v1_java_deserial-CSCwd64245.cop.sha512, 15 ou ultérieure.
Mettre à jour Unified Communications Manager Session Management Edition (Unified CM SME) vers la version 12.5(1)SU8, 14SU3, ciscocm.v1_java_deserial-CSCwd64245.cop.sha512, 15 ou ultérieure.
Mettre à jour Unified Communications Manager IM & Presence Service (Unified CM IM&P) vers la version 12.5(1)SU8, 14SU3, ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512, 15 ou ultérieure.
Mettre à jour Unity Connection vers la version 12.5(1)SU8, 14SU3, ciscocm.cuc.v1_java_deserial-CSCwd64292.k4.cop.sha512, 15 ou ultérieure.
Mettre à jour Unified Contact Center Enterprise (UCCE) vers la version ucos.v1_java_deserial-CSCwd64245.cop.sgn, 15 ou ultérieure.
Mettre à jour Unified Contact Center Express (UCCX) vers la version ucos.v1_java_deserial-CSCwd64245.cop.sgn, 15 ou ultérieure.
Mettre à jour Virtualized Voice Browser (VVB) vers la version ucos.v1_java_deserial-CSCwd64245.cop.sgn, 15 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Cisco.

Liens