Cisco informuje o nowych podatnościach. (P24-295)

cert.pse-online.pl 1 tydzień temu

Produkt	Crosswork Network Services Orchestrator: 5.5 – 6.2 Optical Site Manager: 24.3 Cisco RV340 Dual WAN Gigabit VPN Router: Wszystkie wersje ConfD: 7.5 – 8.0
Numer CVE	CVE-2024-20381
Krytyczność	7.7/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Opis	Może to nastąpić w wyniku uwierzytelnienia w funkcji JSON-RPC API. Zdalny użytkownik może dostarczać nieautoryzowanych rozwiązań dotyczących konfiguracji aplikacji lub urządzenia.

Aktualizacja	TAK
Link	http://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nso-auth-bypass-QnTEesp

Produkt	Oprogramowanie kontrolera sieci PON (Routed Passive Optical Network): 24.1 – 24.3 Router NCS 540-24Q8L2DD-SYS: Wszystkie wersje Router NCS 540-24Z8Q2C-SYS: Wszystkie wersje Router NCS 540-28Z4C-SYS-A: Wszystkie wersje Router NCS 540-28Z4C-SYS-D: Wszystkie wersje Router NCS 540-ACC-SYS: Wszystkie wersje Router NCS 540X-16Z4G8Q2C-A: Wszystkie wersje Router NCS 540X-16Z4G8Q2C-D: Wszystkie wersje NCS 55A1-24Q6H-SS: Wszystkie wersje NCS 55A2-MOD-SE-S: Wszystkie wersje System Cisco Network Convergence NCS-57C1-48Q6-SYS: Wszystkie wersje NCS 57C3-MOD: Wszystkie wersje
Numer CVE	CVE-2024-20483
Krytyczność	6.3/10
CVSS	AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Opis	Luka istnieje z powodu nieprawidłowej walidacji danych wejściowych. Zdalny administrator może przekazać specjalnie spreparowane dane do aplikacji i wykonać dowolne polecenia systemu operacyjnego w systemie docelowym.

Numer CVE	CVE-2024-20489
Krytyczność	7.3/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N/E:U/RL:O/RC:C
Opis	Luka istnieje z powodu nieprawidłowego przechowywania niezaszyfrowanych danych uwierzytelniających bazy danych na urządzeniu. Użytkownik lokalny może uzyskać dostęp do plików konfiguracyjnych i wyświetlić dane uwierzytelniające MongoDB.

Aktualizacja	TAK
Link	http://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-ponctlr-ci-OHcHmsFL