La falla, identificada oficialmente como CVE-2024-20253, ha sido evaluada con una alta gravedad, obteniendo una puntuación de 9.9 en el Sistema de Puntuación de Vulnerabilidades Comunes.
Una vulnerabilidad en la interfaz de administración de la interfaz de línea de comando de Cisco SD-WAN vManage podría permitir que un atacante local autenticado omita la autorización y le permita revertir la configuración en los controladores vManage y el dispositivo enrutador de borde.
Esta vulnerabilidad se debe a un control de acceso inadecuado en la interfaz de administración de CLI de un sistema afectado. Un atacante con acceso con privilegios bajos (solo lectura) a la CLI podría aprovechar esta vulnerabilidad enviando una solicitud para revertir la configuración de otros controladores y dispositivos administrados por un sistema afectado. Un exploit exitoso podría permitir al atacante revertir la configuración de otros controladores y dispositivos administrados por un sistema afectado.
Productos Afectados
Esta vulnerabilidad afecta a los siguientes productos de Cisco en la configuración predeterminada:
| Producto | Versión afectada |
| Packaged Contact Center Enterprise (PCCE) | 12.0 e inferiores, 12.5(1) y 12.5(2) |
| Unified Communications Manager (Unified CM) | 11.5, 12.5(1) y 14 |
| Unified Communications Manager IM & Presence Service (Unified CM IM&P) | 11.5(1), 12.5(1) y 14 |
| Unified Contact Center Enterprise (UCCE) | 12.0 e inferiores, 12.5(1) y 12.5(2) |
| Unified Contact Center Express (UCCX) | 12.0 e inferiores y 12.5(1) |
| Unity Connection versions | 11.5(1), 12.5(1) y 14 |
| Virtualized Voice Browser (VVB) | 12.0 e inferiores, 12.5(1) y 12.5(2). |
Solución
Actualizar productos a versión 15 o superior
Recomendación
Se recomienda a los usuarios de productos Cisco actualizar sus equipos y estar atentos a futuras actualizaciones.
Establecer listas de control de acceso en dispositivos intermediarios que separen el clúster de Comunicaciones Unificadas de Cisco o Soluciones de Centro de Contacto de Cisco de los usuarios y el resto de la red para permitir el acceso solo a los puertos de los servicios implementados.
Referencias