{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Cisco Unity Connection ist ein umfangreiches Voicemail und Integrated-Messaging- Produkt. Mit Cisco Unity Connection können Benutzer mit dem Cisco Unified Personal Communicator auf ihre Sprachnachrichten zugreifen, das Display ihres Cisco Unified IP-Telefons nutzen, um Sprachnachrichten anzuzeigen, zu sortieren und wiederzugeben, und sogar die Sprachsteuerung von Cisco Unity Connection verwenden, um auf Cisco Unified MeetingPlace Express Meetings zuzugreifen.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter anonymer Angreifer kann eine Schwachstelle in Cisco Unity Connection ausnutzen, um seine Privilegien zu erhöhen oder beliebigen Code auszuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2024-0063 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0063.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2024-0063 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0063"
    }, {
      "category" : "external",
      "summary" : "Cisco Security Advisory vom 2024-01-10",
      "url" : "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuc-unauth-afu-FROYsCsD"
    } ],
    "source_lang" : "en-US",
    "title" : "Cisco Unity Connection: Schwachstelle ermöglicht Privilegienerweiterung und Codeausführung",
    "tracking" : {
      "current_release_date" : "2024-01-10T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T18:03:31.221+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2024-0063",
      "initial_release_date" : "2024-01-10T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2024-01-10T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_name",
          "name" : "Cisco Unity Connection < 12.5.1.19017-4",
          "product" : {
            "name" : "Cisco Unity Connection < 12.5.1.19017-4",
            "product_id" : "T031992",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:cisco:unity_connection:12.5.1.19017-4"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Cisco Unity Connection < 14.0.1.14006-5",
          "product" : {
            "name" : "Cisco Unity Connection < 14.0.1.14006-5",
            "product_id" : "T031993",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:cisco:unity_connection:14.0.1.14006-5"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "Unity Connection"
      } ],
      "category" : "vendor",
      "name" : "Cisco"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2024-20272",
    "notes" : [ {
      "category" : "description",
      "text" : "Es gibt eine Schwachstelle in Cisco Unity Connection. Diese Schwachstelle besteht in der webbasierten Verwaltungsschnittstelle aufgrund einer fehlenden Authentifizierung in einer bestimmten API und einer fehlerhaften Validierung der vom Benutzer bereitgestellten Daten. Dadurch ist es möglich, beliebige Dateien hochzuladen oder schädliche Dateien auf dem System zu speichern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Code auf dem zugrundeliegenden Betriebssystem auszuführen oder seine Privilegien zu erweitern."
    } ],
    "release_date" : "2024-01-10T23:00:00.000+00:00",
    "title" : "CVE-2024-20272"
  } ]
}