Firma Cisco wydała aktualizacje naprawiające 33 podatności w jej produktach, 2 z nich są krytyczne.

Podatności:

CVE-2019-1912 – błąd w poprawności autoryzacji w interfejsie zarządzania siecią. Atakujący może wykorzystać tę podatność, wysyłając spreparowane żądania (HTTP lub HTTPS) do niektórych części ww. interfejsu. Wykorzystanie tej luki umożliwia modyfikacje konfiguracji urządzenia.

CVE-2019-1913 – błąd w poprawności sprawdzania danych wejściowych dostarczonych przez użytkownika. Atakujący może wykorzystać tę podatność, wysyłając spreparowane żądania (HTTP lub HTTPS) do niektórych części interfejsu zarządzania siecią. Wykorzystanie tej luki umożliwia modyfikacje konfiguracji urządzenia.

  • Cisco Small Business 220 Series Smart Switches z oprogramowaniem w wersji wcześniejszej niż 1.1.4.4 z włączonym interfejsem zarządzania siecią.

CVE-2019-1924CVE-2019-1925CVE-2019-1926CVE-2019-1927CVE-2019-1928CVE-2019-1929 – oprogramowanie nieprawidłowo sprawdza poprawność plików Advanced Recording Format (ARF) i Webex Recording Format (WRF). Atakujący może przesłać złośliwy plik ARF lub WRF w wiadomości e-mail, otwarcie pliku może umożliwić zdalne wykonanie kodu.

  • Cisco Webex Business Suite sites, wersje wcześniejsze niż WBS 39.5.5
  • Cisco Webex Meetings Online, wersje wcześniejsze niż 1.3.43
  • Cisco Webex Meetings Server, wersje wcześniejsze niż 2.8MR3Patch3, 3.0MR2Patch4, 4.0 lub 4.0MR1

CVE-2019-1895 – luka umożliwia atakującemu przechwycić sesje administratra VNC, co może prowadzić do przejęcia urządzenia.

  • Cisco Enterprise NFV Infrastructure Software (NFVIS), wersje wcześniejsze niż 3.12.1

CVE-2019-1918, CVE-2019-1910 – nieprawidłowe przetwarzanie danych protokołu PDU (IS-IS). Atakujący może wykorzystać tę podatność, wysyłając określone jednostki PDU stanu łącza, co może umożliwić wywołanie stanu odmowy usługi (DoS).

  • Cisco IOS XR Software, wersje 6.5.2-6.6.2

CVE-2019-1934 – błąd w poprawności autoryzacji. Za pomocą określonych żądań HTTPS, atakujący może wykonywać funkcje administratora.

  • Cisco ASA Software, wersje późniejsze niż 8.2 z włączonym interfejsem zarządzania siecią

Pozostałe podatności:

https://tools.cisco.com/security/center/publicationListing