2017-1673: Cisco Unified Customer Voice Portal: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten

Historie:

Version 1 (2017-09-21 15:13)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Cisco

Beschreibung:

In der 'Operations, Administration, Maintenance, and Provisioning (OAMP)'-Funktionalität zum Zurücksetzen von Berechtigungen in Cisco Unified Customer Voice Portal (CVP) werden Benutzereingaben mangelhaft validiert. Ein entfernter, einfach authentisierter Angreifer kann dies mit Hilfe einer bösartig präparierten HTTP-Anfrage ausnutzen und seine Privilegien auf die des Administrators eskalieren. Hierfür muss der Angreifer sich erfolgreich an dem OAMP-Feature anmelden.

Cisco bestätigt die Schwachstelle für die Hauptversionen 10.5, 11.0 und 11.5 von Cisco Unified Customer Voice Portal (CVP) und empfiehlt betroffenen Anwendern auf die Version 11.6 oder höher zu migrieren. Zudem stellt Cisco die Engineering Special (ES)-Versionen 10.5(1)_ES31, 11.0(1)_ES27 und 11.5(1)_ES13 als Sicherheitsupdates bereit, welche allerdings nicht über das Software Center verfügbar sind. Die entsprechenden Download-Links sind in der Sicherheitsmeldung unter der Sektion 'Fixed Software' unter dem Unterpunkt' Fixed Releases' enthalten.

Schwachstellen:

CVE-2017-12214

Schwachstelle in Cisco Unified Customer Voice Portal ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.