5000 Series Enterprise Network Compute System (ENCS) UCS C-Series M5 Rack Servers UCS E-Series M3 Servers
CVE
CVE-2023-20228
Krytyczność
6.1/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:X/RL:X/RC:X
Opis
Ta luka w zabezpieczeniach wynika z niewystarczającej weryfikacji danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, nakłaniając użytkownika interfejsu do kliknięcia spreparowanego łącza. Udany exploit może umożliwić osobie atakującej wykonanie dowolnego kodu / skryptu w przeglądarce użytkownika lub uzyskanie dostępu do poufnych informacji z przeglądarki.
Cisco Expressway Series, Cisco TelePresence VCS wcześniejsze niż 14.0
CVE
CVE-2023-20209
Krytyczność
6.5/10
CVSS
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N/E:X/RL:X/RC:X
Opis
Ta luka jest spowodowana niewystarczającą weryfikacją danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądanie do internetowego interfejsu zarządzania urządzenia, którego dotyczy luka. Udany exploit może pozwolić atakującemu na ustanowienie zdalnej powłoki z uprawnieniami administratora.
IP Phone 6800 Series with Multiplatform Firmware IP Phone 7800 Series with Multiplatform Firmware IP Phone 8800 Series with Multiplatform Firmware Video Phone 8875
CVE
CVE-2023-20221
Krytyczność
6.5/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H/E:X/RL:X/RC:X
Opis
Ta luka wynika z niewystarczających zabezpieczeń CSRF dla internetowego interfejsu zarządzania urządzeniem. Osoba atakująca może wykorzystać tę lukę, przekonując uwierzytelnionego użytkownika interfejsu do skorzystania ze spreparowanego łącza. Udany exploit może pozwolić atakującemu na przywrócenie ustawień fabrycznych urządzenia, którego dotyczy problem, co spowoduje stan odmowy usługi (DoS)
Ta luka wynika z niewłaściwego przechowywania poufnych informacji w internetowym interfejsie zarządzania. Osoba atakująca może wykorzystać tę lukę, logując się do internetowego interfejsu zarządzania i przeglądając ukryte pola w aplikacji. Udany exploit może umożliwić atakującemu dostęp do poufnych informacji, w tym poświadczeń dostępu do urządzenia, co może pomóc atakującemu w dalszych atakach.
Luki te wynikają z niewystarczającej weryfikacji danych wejściowych podczas wyodrębniania przesłanych pakietów oprogramowania. Osoba atakująca może wykorzystać te luki, uwierzytelniając się na zagrożonym urządzeniu i przesyłając spreparowany pakiet oprogramowania. Udany exploit może pozwolić atakującemu na wykonanie poleceń w bazowym systemie operacyjnym z uprawnieniami administratora.
Cisco ThousandETAK Enterprise Agent 0.216 i wcześniejsze
CVE
CVE-2023-20217
Krytyczność
5.5/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:X/RL:X/RC:X
Opis
Ta luka w zabezpieczeniach jest spowodowana niewystarczającą weryfikacją danych wejściowych przez interfejs wiersza polecenia systemu operacyjnego. Osoba atakująca może wykorzystać tę lukę, wydając określone polecenia dzięki sudo. Udany exploit może umożliwić atakującemu przeglądanie dowolnych plików jako root w bazowym systemie operacyjnym. Osoba atakująca musi mieć prawidłowe poświadczenia na urządzeniu, którego dotyczy problem.
Cisco Unified CCX Finesse Portal wcześniejsze niż 12.5(1)SU03 ES02
CVE
CVE-2023-20232
Krytyczność
5.3/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:X/RL:X/RC:X
Opis
Ta luka wynika z nieprawidłowej weryfikacji danych wejściowych żądań HTTP. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądania HTTP do określonego punktu końcowego interfejsu API w portalu Unified CCX Finesse Portal. Udany exploit może pozwolić atakującemu na spowodowanie, iż wewnętrzny serwer WebProxy przekieruje użytkowników do hosta kontrolowanego przez atakującego.
Cisco Umbrella Virtual Appliances 2.0.3 i wcześniejsze
CVE
CVE-2017-6679
Krytyczność
6.4/10
CVSS
AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X
Opis
Ta luka wynika z nieudokumentowanego mechanizmu pomocy technicznej, który jest obecny w produkcie. Osoba atakująca może wykorzystać tę lukę, uzyskując uprawnienia wystarczające do uzyskania dostępu do tunelu pomocy zdalnej. Udany exploit może umożliwić atakującemu zdalny dostęp do urządzenia i uzyskanie pełnej kontroli bez wyraźnej zgody klienta.
Secure Endpoint Connector for Windows Secure Endpoint Private Cloud
CVE
CVE-2023-20212
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:X/RL:X/RC:X
Opis
Ta luka wynika z błędu logicznego w zarządzaniu pamięcią urządzenia, którego dotyczy luka. Osoba atakująca może wykorzystać tę lukę, przesyłając spreparowany plik AutoIt do przeskanowania przez ClamAV na urządzeniu, którego dotyczy luka. Udany exploit może pozwolić osobie atakującej spowodować nieoczekiwane ponowne uruchomienie procesu skanowania ClamAV, co spowoduje wystąpienie stanu DoS
Secure Endpoint Connector for Linux Secure Endpoint Connector for MacOS Secure Endpoint Connector for Windows Secure Endpoint Private Cloud
CVE
CVE-2023-20197
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:X/RL:X/RC:X
Opis
Ta luka w zabezpieczeniach jest spowodowana nieprawidłowym sprawdzaniem ukończenia podczas dekompresji pliku, co może skutkować pętlą. Może spowodować, iż oprogramowanie, przestanie odpowiadać. Osoba atakująca może wykorzystać tę lukę, przesyłając spreparowany obraz systemu plików HFS+ do przeskanowania przez ClamAV na zagrożonym urządzeniu. Udany exploit może pozwolić atakującemu na spowodowanie, iż proces skanowania ClamAV przestanie odpowiadać, co spowoduje wystąpienie stanu DoS w oprogramowaniu, i zużyje dostępne zasoby systemowe.
Ta luka w zabezpieczeniach jest spowodowana niewłaściwą weryfikacją danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, uwierzytelniając się w aplikacji jako użytkownik z uprawnieniami tylko do odczytu lub wyższymi i wysyłając spreparowane żądania HTTP do systemu. Udany exploit może pozwolić atakującemu na odczytanie lub zmodyfikowanie danych w bazowej bazie danych lub podniesienie uprawnień.
Cisco Duo Device Health Application for Windows Release 4.0 i wcześniejsze, 5.0.0, 5.1.0
CVE
CVE-2023-20229
Krytyczność
7.1/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H/E:X/RL:X/RC:X
Opis
Ta luka wynika z niewystarczającej weryfikacji danych wejściowych. Osoba atakująca może wykorzystać tę lukę, przeprowadzając atak z przeglądaniem katalogów na hoście, którego dotyczy problem. Udany exploit może pozwolić atakującemu na użycie klucza kryptograficznego do nadpisania dowolnych plików z uprawnieniami na poziomie SYSTEMU, co spowoduje odmowę usługi (DoS) lub utratę danych w systemie.
Cisco ThousandETAK Enterprise Agent 0.216 i wcześniejsze
CVE
CVE-2023-20224
Krytyczność
7.8/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X
Opis
Ta luka w zabezpieczeniach jest spowodowana niewystarczającą weryfikacją danych wejściowych argumentów CLI dostarczonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, uwierzytelniając się na urządzeniu, którego dotyczy luka, i używając spreparowanych poleceń w monicie. Udany exploit może pozwolić atakującemu na wykonanie dowolnych poleceń jako root. Osoba atakująca musi mieć prawidłowe poświadczenia na urządzeniu, którego dotyczy problem.
