lunes, 26 de mayo de 2008

Escalada de privilegios en Cisco Voice Portal 4.x y 7.x

Se ha encontrado una vulnerabilidad en Cisco Unified Customer Voice Portal (CVP), parte de Cisco Customer Interaction Network solution que podría ser aprovechada por un atacante para escalar privilegios.

Cisco Unified Customer Voice Portal es una solución automática de autoservicio de voz basada en XML que funciona con los productos de atención asistida al cliente de Cisco Unified Contact Center.

Existen tres tipos de roles en CVP: superusuario, administrador y acceso de solo lectura. Debido a una vulnerabilidad no especificada, y localizada en CVP, un atacante con rol de administrador podría crear, modificar o borrar una cuenta de superusuario, que goza de mayores privilegios.

La vulnerabilidad afecta a las versiones del software CVP anteriores a la 4.0(2)_ES14 para 4.0.x, a la 4.1(1)_ES11 para 4.1.x y a la 7.0(1) para 7.x.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20080521-cvp.shtml


Laboratorio Hispasec
laboratorio @hispasec.com


Más información:

Cisco Security Advisory: Cisco Voice Portal Privilege Escalation Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20080521-cvp.shtml

No hay comentarios:

Publicar un comentario en la entrada