Argitalpen data: 2022/03/03

Garrantzia:Kritikoa

Kaltetutako baliabideak:

Cisco Expressway Series eta Cisco TelePresence VCS, 14.0 eta lehenagoko bertsioak.

Azalpena:

Cisco ASIG-eko (Advanced Security Initiatives Group) Jason Crowder ikertzaileak barneko segurtasun proba batzuetan 2 ahultasun kritiko aurkitu zituen. Horiek baliatuz, autentifikatutako urruneko erasotzaile batek, aplikazioan irakurketa/idazketa pribilegioak izanez gero, fitxategiak idatz litzake edo kode arbitrarioa exekuta lezake kaltetutako gailu bateko azpiko sistema eragilean root pribilegioekin.

Konponbidea:

Cisco Expressway Series eta Cisco TelePresence VCS 14.0.5 bertsiora eguneratzea.

Xehetasuna:

Bi ahultasunak, klusterraren datu basearen APIan eta webgunean oinarritutako kudeaketa interfazean identifikatuak hurrenez hurren, erabiltzaileak emandako komandoen argumentuen sarreraren baliozkotze ez-aski batek eragiten ditu. Sisteman administratzaile modura autentifikatuz eta kaltetutako komandora bereziki diseinatutako sarrera bat bidaliz balia litezke. Ahultasun horietarako CVE-2022-20754 eta CVE-2022-20755 identifikatzaileak erabili dira.

Etiketak:Eguneraketa, Cisco, Komunikazioak, Ahultasuna