Cisco informuje o nowych podatnościach w swoich produktach

cert.pse-online.pl 1 rok temu

Produkt	Cisco AsyncOS Software
Numer CVE	CVE-2023-20057
Base Score	4.7/10
CVSS	AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Details	Ta luka wynika z nieprawidłowego przetwarzania adresów URL. Osoba atakująca może wykorzystać tę lukę, tworząc adres URL w określony sposób. Udany exploit może pozwolić osobie atakującej na ominięcie filtrów reputacji adresów URL skonfigurowanych dla urządzenia, którego dotyczy problem, co może pozwolić na przechodzenie złośliwych adresów URL przez urządzenie.

Aktualizacja	TAK
Link	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-url-bypass-WbMQqNJh

Product	Cisco Unified CM – wiele wersji Cisco Unified CM SME – wiele wersji
CVE	CVE-2023-20010
Base Score	8.1/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Details	Ta luka w zabezpieczeniach występuje, ponieważ internetowy interfejs zarządzania niewłaściwie sprawdza poprawność danych wprowadzonych przez użytkownika. Osoba atakująca może wykorzystać tę lukę, uwierzytelniając się w aplikacji jako użytkownik o niskich uprawnieniach i wysyłając spreparowane zapytania SQL do systemu, którego dotyczy luka. Udany exploit może umożliwić atakującemu odczytanie lub zmodyfikowanie dowolnych danych w bazowej bazie danych lub podniesienie ich uprawnień.

Aktualizacja	TAK
Link	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n