Vulnerability Bulletins |
Acceso no autorizado en CISCO Personal Assistant |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Integridad |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Networking |
| Affected software | Cisco Personal Assistant version 1.4(1), 1.4(2) |
Description |
|
|
Se ha descubierto una vulnerabilidad en la aplicación para Windows Cisco Personal Assistant . Este fallo permite un acceso no autorizado vía web a la configuracion de un usuario en el Cisco Personal Assistant. En esta aplicación, los usuarios acceden al Asistente utilizando un navegador web y visitando la dirección http://x.x.x.x/pauseradmin donde x.x.x.x es la IP o el nombre del servidor con Personal Assistant. El fallo sólo se presenta si se cumplen al mismo tiempo estas dos condiciones: - En Personal Assistant Administrator se ha marcado "Allow Only Cisco CallManager Users " en System -> Miscellaneous Settings. - En la configuración de Personal Assistant Corporative Directory se hace referencia al mismo servicio de directorio que usa Cisco CallManager. Si se cumplen ambos criterios, la autenticación por contraseña de la configuración del Personal Assistant se deshabilita. |
|
Solution |
|
| Para solucionar este fallo debe desmarcar la opción "Allow Only Cisco CallManager Users " en el apartado "System -> Miscellaneous Settings" del sitio Personal Assistant Administration. | |
Standar resources |
|
| Property | Value |
| CVE | CAN-2004-0044 |
| BID | |
Other resources |
|
|
Cisco Document ID: 47765 http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-01-09 |