Cisco Unified CDM Application Software bis 8.1.3 Web Framework erweiterte Rechte
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
7.0 | $0-$5k | 0.00 |
Eine kritische Schwachstelle wurde in Cisco Unified CDM Application Software bis 8.1.3 entdeckt. Dies betrifft ein unbekannter Teil der Komponente Web Framework. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-264. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
The BVSMWeb portal in the web framework in Cisco Unified Communications Domain Manager (CDM) in Unified CDM Application Software before 10 does not properly implement access control, which allows remote attackers to modify user information via a crafted URL, aka Bug ID CSCum77041.
Die Schwachstelle wurde am 07.07.2014 durch Sense of Security als cisco-sa-20140702-cucdm in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von tools.cisco.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 07.05.2014 als CVE-2014-3300 statt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.
Er wird als hoch funktional gehandelt. Als 0-Day erzielte der Exploit wohl etwa $5k-$25k auf dem Schwarzmarkt.
Ein Upgrade auf die Version 8.1.4 vermag dieses Problem zu beheben.
Die Einträge 70286 und 70285 sind sehr ähnlich.
Produkt
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
MetaSploit ID: cisco_cucdm_call_forward.rb
MetaSploit Name: Viproy CUCDM IP Phone XML Services - Call Forwarding Tool
MetaSploit Datei: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Unified CDM Application Software 8.1.4
Timeline
07.05.2014 🔍02.07.2014 🔍
02.07.2014 🔍
04.07.2014 🔍
07.07.2014 🔍
07.07.2014 🔍
08.07.2014 🔍
26.03.2015 🔍
24.03.2022 🔍
Quellen
Hersteller: cisco.comAdvisory: cisco-sa-20140702-cucdm
Person: Sense of Security
Status: Bestätigt
CVE: CVE-2014-3300 (🔍)
SecurityTracker: 1030515
Vulnerability Center: 45283 - [cisco-sa-20140702-cucdm] Cisco Unified Communications Domain Manager (CDM) Remote Security Bypass in BVSMWeb portal, High
SecurityFocus: 68331 - Cisco Unified Communications Domain Manager BVSMWeb CVE-2014-3300 Security Bypass Vulnerability
Secunia: 59556 - Cisco Unified Communications Domain Manager BVSMWeb Portal Security Bypass Vulnerability, Less Critical
Siehe auch: 🔍
Eintrag
Erstellt: 26.03.2015 12:07Aktualisierung: 24.03.2022 14:31
Anpassungen: 26.03.2015 12:07 (63), 01.06.2017 08:17 (6), 24.03.2022 14:31 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.