В API Cisco Unified Intelligence Center существует уязвимость, которая может позволить аутентифицированному удалённому злоумышленнику выпол…
В API Cisco Unified Intelligence Center существует уязвимость, которая может позволить аутентифицированному удалённому злоумышленнику выполнить атаку горизонтального повышения привилегий в затронутой системе. Эта уязвимость обусловлена недостаточной проверкой параметров, предоставленных пользователем, в запросах API. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные запросы API к затронутой системе, чтобы выполнить атаку типа "небезопасная прямая ссылка на объект" (IDOR). Успешная эксплуатация может позволить злоумышленнику получить доступ к конкретным данным, связанным с другими пользователями в затронутой системе [1]. Источники: - [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuis-priv-esc-3Pk96SU4
Функциональность авторизации системы не предотвращает возможности одного пользователя получить доступ к данным другого пользователя путём изменения значения ключа, идентифицирующего эти данные.
https://cwe.mitre.org/data/definitions/639.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| unified_contact_center_express | * | Отслеживается |
| unified_intelligence_center | * | Отслеживается |