Con fecha 23 de junio del 2023, Cisco ha notificado 5 vulnerabilidades de las cuales, 4 son de severidad alta y una de ellas de severidad crítica, que podrían permitir a un atacante autenticado, con credenciales de solo lectura, de nivel de administrador, eleve sus privilegios a administrador con credenciales de lectura y escritura en un sistema afectado.

Recursos afectados:

• Cisco Expressway Series
• Cisco TelePresence VCS
• Cisco Unified CM IM&P
• Cisco ASA: versiones 9.16.4, 9.18.2 y 9.18.2.5.
• Cisco FTD: versiones 7.2.1, 7.2.2 y 7.2.3.
• Cisco AnyConnect Secure Mobility Client (Windows)
• Cisco Secure Client (Windows)

Solución:
Cisco ha lanzado actualizaciones para solucionar estas vulnerabilidades.
Ver la sección de “referencias” e identificar la sección de “Fixed Software” de cada aviso oficial.

Detalles:
La vulnerabilidad de severidad crítica se basa en una escalada de privilegios. Un atacante podría explotar esta vulnerabilidad al autenticarse en la aplicación como administrador de solo lectura y enviar una solicitud manipulada a la interfaz de administración basada en web. Su explotación podría permitir al atacante alterar las contraseñas de cualquier usuario en el sistema, incluido un usuario administrativo de lectura y escritura, y luego hacerse pasar por ese usuario. Se ha asignado el identificador CVE-2023-20105 para esta vulnerabilidad.
Se han asignado los identificadores CVE-2023-20192, CVE-2023-20108, CVE-2023-20006, CVE-2023-20178 para estas vulnerabilidades.