CVSS: 7.5EPSS: 0%CPEs: 56EXPL: 0CVE-2013-3404
https://notcve.org/view.php?id=CVE-2013-3404
SQL injection vulnerability in Cisco Unified Communications Manager (CUCM) 7.1(x) through 9.1(1a) allows remote attackers to execute arbitrary SQL commands via unspecified vectors, leading to discovery of encrypted credentials by leveraging metadata, aka Bug ID CSCuh01051. Vulnerabilidad de inyección SQL en Cisco Unified Communications Manager (CUCM) v7.1 (x) hasta v9.1 (1a), permite a atacantes remotos ejecutar comandos SQL de su elección a través de vectores no especificados dando lugar al descubrimiento de credenciales cifradas mediante el aprovechamiento de los metadatos, también conocido como Bug ID CSCuh01051. • http://secunia.com/advisories/54249 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 0EPSS: 0%CPEs: 1EXPL: 0CVE-2013-4869
https://notcve.org/view.php?id=CVE-2013-4869
Cisco Unified Communications Manager (CUCM) 7.1(x) through 9.1(2) and the IM & Presence Service in Cisco Unified Presence Server through 9.1(2) use the same CTI and database-encryption key across different customers' installations, which makes it easier for context-dependent attackers to defeat cryptographic protection mechanisms by leveraging knowledge of this key, aka Bug IDs CSCsc69187 and CSCui01756. NOTE: the vendor has provided a statement that the "hard-coded static encryption key is considered a hardening issue rather than a vulnerability, and as such, has a CVSS score of 0/0." Cisco Unified Communications Manager (CUCM) v7.1(x) hasta v9.1(2) y el IM & Presence Service en Cisco Unified Presence Server hasta v9.1(2) usan el mismo CTI y clave de cifrado de la base de datos entre las diversas instalaciones, lo que hace más fácil para los atacantes dependientes de contexto eludir los mecanismos de protección de cifrado mediante el aprovechamiento del conocimiento de esta clave, también conocido como Bug ID CSCsc69187 y CSCui01756. NOTA: el vendedor ha declarado de que la "clave de cifrado estática hardcodeada se considera un problema de hardening en lugar de una vulnerabilidad, y, como tal, tiene una puntuación CVSS de 0/0." • http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm https://exchange.xforce.ibmcloud.com/vulnerabilities/85883 • CWE-522: Insufficiently Protected Credentials •
CVSS: 6.8EPSS: 0%CPEs: 56EXPL: 0CVE-2013-3403
https://notcve.org/view.php?id=CVE-2013-3403
Multiple untrusted search path vulnerabilities in Cisco Unified Communications Manager (CUCM) 7.1(x) through 9.1(1a) allow local users to gain privileges by leveraging unspecified file-permission and environment-variable issues for privileged programs, aka Bug ID CSCuh73454. Multiples vulnerabilidades de rutas de búsqueda de no confianza en Cisco Unified Communications Manager (CUCM) v7.1(x) hasta v9.1(1a) permite a usuarios locales ganar privilegios mediante el aprovechamiento de problemas relacionados con los permisos de ficheros y variables de entorno, también conocido como Bug ID CSCuh73454. • http://secunia.com/advisories/54249 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm •
CVSS: 6.5EPSS: 0%CPEs: 56EXPL: 0CVE-2013-3402
https://notcve.org/view.php?id=CVE-2013-3402
An unspecified function in Cisco Unified Communications Manager (CUCM) 7.1(x) through 9.1(2) allows remote authenticated users to execute arbitrary commands via unknown vectors, aka Bug ID CSCuh73440. Una función no especificada en Cisco Unified Communications Manager (CUCM) v7.1 (x) ahasta v9.1 (2) permite a usuarios remotos autenticados ejecutar código arbitrario a través de vectores desconocidos, también conocido como Bug ID CSCuh73440. • http://secunia.com/advisories/54249 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.8EPSS: 0%CPEs: 260EXPL: 0CVE-2012-3949
https://notcve.org/view.php?id=CVE-2012-3949
The SIP implementation in Cisco Unified Communications Manager (CUCM) 6.x and 7.x before 7.1(5b)su5, 8.x before 8.5(1)su4, and 8.6 before 8.6(2a)su1; Cisco IOS 12.2 through 12.4 and 15.0 through 15.2; and Cisco IOS XE 3.3.xSG before 3.3.1SG, 3.4.xS, and 3.5.xS allows remote attackers to cause a denial of service (service crash or device reload) via a crafted SIP message containing an SDP session description, aka Bug IDs CSCtw66721, CSCtj33003, and CSCtw84664. La implementación SIP en Cisco Unified Communications Manager (CUCM) v6.x y v7.x anteriores a v7.1(5b)su5, v8.x anteriores a v8.5(1)su4, y v8.6 anteriores a v8.6(2a)su1; Cisco IOS v12.2 hasta v12.4 y v15.0 hasta v15.2; y Cisco IOS XE v3.3.xSG anteriores a v3.3.1SG, v3.4.xS, y 3.5.xS permite a atacantes remotos a provocar una denegación de servicio (caída del servicio o recarga de dispositivo) a través de mensajes SIP manipulados que contienen la descripción de una sesión SDP, también conocido como Bug IDs CSCtw66721, CSCtj33003, y CSCtw84664. • http://osvdb.org/85816 http://secunia.com/advisories/50774 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-cucm http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-sip http://www.securityfocus.com/bid/55697 • CWE-20: Improper Input Validation •