Une vulnérabilité de déni de service de criticité élevée a été identifiée dans l'interface de gestion de réponse vocale interactive (IVR) de Cisco Unified Customer Voice Portal (CVP). Son exploitation pourrait permettre à un attaquant distant non authentifié de provoquer la déconnexion de l’IVR.
La vulnérabilité est due à une mauvaise gestion d’une demande de connexion TCP lorsque la connexion IVR est déjà établie. Un attaquant pourrait exploiter cette vulnérabilité en initiant une connexion à l'adresse IP d’un dispositif CVP ciblé. Une exploitation de la vulnérabilité pourrait permettre à l'attaquant de déconnecter l’IVR du CVP, ce qui empêcherait le CVP d'accepter de nouveaux appels entrants (alors que l'IVR tenterait automatiquement de rétablir la connexion avec le CVP).
Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité dans la version 11.6 du CVP.
Impact
- Déni de service
Criticité
- CVSS v3 : 8.6
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Cette vulnérabilité affecte la version 11.5 (1) du logiciel Cisco Unified Customer Voice Portal (CVP)
CVE
- CVE-2018-0139
Correctifs
- Cette vulnérabilité est corrigée dans les versions 11.6 ou ultérieures du Cisco Unified Customer Voice Portal (CVP) disponibles sur le centre de logiciels de Cisco.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.