Cisco Unified Communications Manager Web-based Management Interface Directory Traversal

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.2$0-$5k0.00

Eine problematische Schwachstelle wurde in Cisco Unified Communications Manager sowie Unified Communications Manager Session Management Edition - die betroffene Version ist nicht genau spezifiziert - (Unified Communication Software) ausgemacht. Dies betrifft ein unbekannter Teil der Komponente Web-based Management Interface. Mit der Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-23. Wie sich eine durchgeführte Attacke auswirkt, ist soweit nicht bekannt. CVE fasst zusammen:

A vulnerability in the web-based management interface of Cisco Unified Communications Manager (Unified CM) and Cisco Unified Communications Manager Session Management Edition (Unified CM SME) could allow an authenticated, remote attacker to read arbitrary files on the underlying operating system of an affected device. This vulnerability is due to improper validation of user-supplied input. An attacker could exploit this vulnerability by sending a crafted HTTP request that contains directory traversal character sequences to an affected system. A successful exploit could allow the attacker to access sensitive files on the operating system.

Die Schwachstelle wurde am 07.07.2022 als cisco-sa-ucm-file-read-qgjhEc3A veröffentlicht. Auf tools.cisco.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 02.11.2021 als CVE-2022-20862 statt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 19.07.2022). MITRE ATT&CK führt die Angriffstechnik T1006 für diese Schwachstelle.

Ein Upgrade vermag dieses Problem zu beheben.

Produktinfo

Typ

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.2

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 4.3
NVD Vector: 🔒

CNA Base Score: 4.3
CNA Vector (Cisco Systems, Inc.): 🔒

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfo

Klasse: Directory Traversal
CWE: CWE-23
ATT&CK: T1006

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: tools.cisco.com

Timelineinfo

02.11.2021 CVE zugewiesen
07.07.2022 +246 Tage Advisory veröffentlicht
07.07.2022 +0 Tage VulDB Eintrag erstellt
19.07.2022 +12 Tage VulDB letzte Aktualisierung

Quelleninfo

Hersteller: cisco.com

Advisory: cisco-sa-ucm-file-read-qgjhEc3A
Status: Bestätigt

CVE: CVE-2022-20862 (🔒)

Eintraginfo

Erstellt: 07.07.2022 06:17
Aktualisierung: 19.07.2022 14:01
Anpassungen: (16) vulnerability_cvss2_nvd_basescore vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_nvd_basescore vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!