Argitalpen data: 2022/03/03
Garrantzia:Kritikoa
Kaltetutako baliabideak:
Cisco Expressway Series eta Cisco TelePresence VCS, 14.0 eta lehenagoko bertsioak.
Azalpena:
Cisco ASIG-eko (Advanced Security Initiatives Group) Jason Crowder ikertzaileak barneko segurtasun proba batzuetan 2 ahultasun kritiko aurkitu zituen. Horiek baliatuz, autentifikatutako urruneko erasotzaile batek, aplikazioan irakurketa/idazketa pribilegioak izanez gero, fitxategiak idatz litzake edo kode arbitrarioa exekuta lezake kaltetutako gailu bateko azpiko sistema eragilean root pribilegioekin.
Konponbidea:
Cisco Expressway Series eta Cisco TelePresence VCS 14.0.5 bertsiora eguneratzea.
Xehetasuna:
Bi ahultasunak, klusterraren datu basearen APIan eta webgunean oinarritutako kudeaketa interfazean identifikatuak hurrenez hurren, erabiltzaileak emandako komandoen argumentuen sarreraren baliozkotze ez-aski batek eragiten ditu. Sisteman administratzaile modura autentifikatuz eta kaltetutako komandora bereziki diseinatutako sarrera bat bidaliz balia litezke. Ahultasun horietarako CVE-2022-20754 eta CVE-2022-20755 identifikatzaileak erabili dira.
Etiketak:Eguneraketa, Cisco, Komunikazioak, Ahultasuna