Informazioni sul CVE-2023-20266

N/A

CWE ID: CWE-347

Base Score (CVSS): N/A

CVE: CVE-2023-20266

Descrizione: A vulnerability in Cisco Emergency Responder, Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), and Cisco Unity Connection could allow an authenticated, remote attacker to elevate privileges to root on an affected device. This vulnerability exists because the application does not properly restrict the files that are being used for upgrades. An attacker could exploit this vulnerability by providing a crafted upgrade file. A successful exploit could allow the attacker to elevate privileges to root. To exploit this vulnerability, the attacker must have valid platform administrator credentials on an affected device.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 6.4 (Medium)

Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: None.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	H	High	Richiede privilegi elevati.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	H	High	Grave impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	N	None	Nessun impatto sulla disponibilità.

Riferimenti esterni

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-priv-esc-D8Bky5eg

Prodotti interessati

Cisco – Cisco Emergency Responder
Cisco – Cisco Unity Connection
Cisco – Cisco Unified Communications Manager

Relazioni con altri prodotti

Produttore:Cisco
Prodotto: Cisco Unified Communications Manager
Anno: 2023
CWE: CWE-347
CVSS: 0.0

Produttore:Cisco
Prodotto: Cisco Unity Connection
Anno: 2023
CWE: CWE-347
CVSS: 0.0

Produttore:Cisco
Prodotto: Cisco Emergency Responder
Anno: 2023
CWE: CWE-347
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2023)