int(550)

Boletines de Vulnerabilidades


Acceso no autorizado en CISCO Personal Assistant

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Integridad
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricant afectat Networking
Software afectado Cisco Personal Assistant version 1.4(1), 1.4(2)

Descripción

Se ha descubierto una vulnerabilidad en la aplicación para Windows Cisco Personal Assistant . Este fallo permite un acceso no autorizado vía web a la configuracion de un usuario en el Cisco Personal Assistant.

En esta aplicación, los usuarios acceden al Asistente utilizando un navegador web y visitando la dirección http://x.x.x.x/pauseradmin donde x.x.x.x es la IP o el nombre del servidor con Personal Assistant.

El fallo sólo se presenta si se cumplen al mismo tiempo estas dos condiciones:

- En Personal Assistant Administrator se ha marcado "Allow Only Cisco CallManager Users " en System -> Miscellaneous Settings.

- En la configuración de Personal Assistant Corporative Directory se hace referencia al mismo servicio de directorio que usa Cisco CallManager.

Si se cumplen ambos criterios, la autenticación por contraseña de la configuración del Personal Assistant se deshabilita.

Solución

Para solucionar este fallo debe desmarcar la opción "Allow Only Cisco CallManager Users " en el apartado "System -> Miscellaneous Settings" del sitio Personal Assistant Administration.

Identificadores estándar

Propiedad Valor
CVE CAN-2004-0044
BID

Recursos adicionales

Cisco Document ID: 47765
http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2004-01-09
Ministerio de Defensa
CNI
CCN
CCN-CERT