Cisco informuje o nowych podatnościach. (P24-189)

cert.pse-online.pl 6 miesięcy temu
ProduktCisco Finesse 11.6(1) ES11 i starsze Cisco Finesse 12.6(2) ES01 i starsze
Numer CVECVE-2024-20404
Krytyczność7.2/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
OpisLuka w internetowym interfejsie zarządzania Cisco Finesse może umożliwić nieuwierzytelnionemu zdalnemu atakującemu przeprowadzenie ataku SSRF na zagrożony system. Przyczyną tej luki jest niewystarczająca weryfikacja danych wejściowych wprowadzonych przez użytkownika w przypadku określonych żądań HTTP wysyłanych do systemu, którego dotyczy luka. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowane żądanie HTTP do urządzenia, którego dotyczy luka. Udany exploit może umożliwić osobie atakującej uzyskanie ograniczonej liczby poufnych informacji na temat usług powiązanych z zaatakowanym urządzeniem.
Numer CVECVE-2024-20405
Krytyczność4.8/10
CVSSAV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
OpisLuka w internetowym interfejsie zarządzania Cisco Finesse może pozwolić nieuwierzytelnionemu zdalnemu atakującemu na przeprowadzenie zapisanego ataku XSS poprzez wykorzystanie luki w zabezpieczeniach RFI. Przyczyną tej luki jest niewystarczająca weryfikacja danych wejściowych wprowadzonych przez użytkownika w przypadku określonych żądań HTTP wysyłanych do urządzenia, którego dotyczy luka. Osoba atakująca może wykorzystać tę lukę, namawiając użytkownika do kliknięcia spreparowanego łącza. Udany exploit może umożliwić osobie atakującej wykonanie dowolnego kodu skryptu w kontekście interfejsu, którego dotyczy luka, lub uzyskanie dostępu do poufnych informacji na zaatakowanym urządzeniu.
AktualizacjaTAK
Linkhttps://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-finesse-ssrf-rfi-Um7wT8Ew
Idź do oryginalnego materiału