| Produkt | Telefon IP z serii 6800 z wieloplatformowym oprogramowaniem sprzętowym Telefon IP z serii 7800 z wieloplatformowym oprogramowaniem układowym Telefon Cisco IP Phone z serii 8800 z wieloplatformowym oprogramowaniem układowym Telefon konferencyjny IP Cisco Unified 8831 Ujednolicony telefon konferencyjny IP 8831 z wieloplatformowym oprogramowaniem układowym Telefon IP Cisco Unified z serii 7900 |
| Numer CVE | CVE-2023-20078 |
| Krytyczność | 9.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka w zabezpieczeniach internetowego interfejsu zarządzania wieloplatformowych telefonów Cisco IP Phone z serii 6800, 7800 i 8800 może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu wstrzyknięcie dowolnych poleceń, które są wykonywane z uprawnieniami administratora. Ta luka jest spowodowana niewystarczającą weryfikacją danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądanie do internetowego interfejsu zarządzania. Udany exploit może pozwolić atakującemu na wykonanie dowolnych poleceń w systemie operacyjnym urządzenia, którego dotyczy problem. |
| Numer CVE | CVE-2023-20079 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka w zabezpieczeniach internetowego interfejsu zarządzania wieloplatformowych telefonów Cisco IP Phone z serii 6800, 7800 i 8800, a także telefonów konferencyjnych Cisco Unified IP Conference Phone 8831 i Unified IP Phone z serii 7900 może pozwolić nieuwierzytelnionemu, zdalnemu atakującemu na spowodowanie urządzenie, którego dotyczy problem, do ponownego załadowania, co skutkuje stanem odmowy usługi (DoS). Ta luka jest spowodowana niewystarczającą weryfikacją danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądanie do internetowego interfejsu zarządzania. Udany exploit może pozwolić atakującemu na spowodowanie stanu DoS. |
| Aktualizacja | TAK |
| Link | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP |
| Produkt | Wersja Cisco Prime Infrastructure wcześniejsza niż 3.10.3 Cisco EPN Manager Wersja wcześniejsza niż 7.0 |
| Numer CVE | CVE-2023-20069 |
| Krytyczność | 5.4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A: |
| Opis | Ta luka jest spowodowana niewystarczającą weryfikacją danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, nakłaniając użytkownika interfejsu, którego dotyczy luka, do kliknięcia spreparowanego łącza. Udany exploit może umożliwić osobie atakującej wykonanie dowolnego kodu skryptu w kontekście interfejsu, którego dotyczy luka, lub uzyskanie dostępu do poufnych informacji z przeglądarki. Aby wykorzystać tę lukę, osoba atakująca musiałaby mieć ważne poświadczenia, aby uzyskać dostęp do internetowego interfejsu zarządzania urządzenia, którego dotyczy luka. |
| Aktualizacja | TAK |
| Link | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-pi-epnm-xss-mZShH2J |
| Produkt | Cisco Unified Intelligence Center wersja 12.5 i starsze, 12.6 |
| Numer CVE | CVE-2023-20061 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Opis | Ta luka w zabezpieczeniach jest spowodowana nadmierną szczegółowością danych wyjściowych określonego interfejsu API REST. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądanie HTTP do urządzenia, którego dotyczy luka. Udany exploit może pozwolić atakującemu na uzyskanie poufnych danych, w tym zaszyfrowanych poświadczeń dla usług powiązanych z urządzeniem, którego dotyczy problem. |
| Numer CVE | CVE-2023-20062 |
| Krytyczność | 5.0/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N |
| Opis | Ta luka w zabezpieczeniach wynika z nieprawidłowej weryfikacji danych wejściowych dla określonych żądań HTTP. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądanie HTTP do systemu, którego dotyczy luka. Udany exploit może umożliwić osobie atakującej wysłanie dowolnych żądań sieciowych pochodzących z systemu, którego dotyczy luka. |
| Aktualizacja | NIE |
| Link | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cuic-infodisc-ssrf-84ZBmwVk |
| Produkt | Cisco Finesse wersja 12.6(2) i starsze |
| Numer CVE | CVE-2023-20088 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Opis | Ta luka wynika z nieprawidłowego filtrowania adresów IP przez odwrotne proxy. Osoba atakująca może wykorzystać tę lukę, wysyłając serię nieuwierzytelnionych żądań do zwrotnego serwera proxy. Udany exploit może pozwolić atakującemu na spowodowanie odrzucenia całego bieżącego ruchu i kolejnych żądań do odwrotnego serwera proxy za pośrednictwem modułu równoważenia obciążenia, co spowoduje stan DoS. |
| Aktualizacja | TAK |
| Link | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-pi-epnm-xss-mZShH2J |
