Firma Cisco opublikowała nowe aktualizacje do Cisco Industrial Network Director (IND) oraz Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS oraz Cisco Expressway Series).

Podatności o poziomie „wysoki”:

  • CVE-2019-1861 – umożliwia uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnego kodu. Luka wynika z nieprawidłowego sprawdzania poprawności plików przesłanych do aplikacji. Atakujący może wykorzystać tę lukę, uwierzytelniając system podlegający usterce, używając uprawnień administratora i przesyłając dowolny plik.

Podatne produkty:

Cisco Industrial Network Director wersje wcześniejsze niż 1.6.0.

  • CVE-2019-1845umożliwia nieuwierzytelnionemu, zdalnemu atakującemu spowodowanie przerwy w działaniu usługi dla użytkowników próbujących się uwierzytelnić, co powoduje warunek odmowy usługi (DoS). Luka wynika z niewystarczającej kontroli określonych operacji pamięci. Atakujący może wykorzystać tę usterkę, wysyłając do systemu nieprawidłowe żądanie uwierzytelnienia XMPP (Extensible Messaging and Presence Protocol).

Podatne produkty:

Expressway Series skonfigurowany dla dostępu mobilnego i zdalnego z usługą IM&P Service (wersje X8.1 – X12.5.2)

TelePresence VCS skonfigurowany dla dostępu mobilnego i zdalnego z usługą IM&P Service (wersje X8.1 – X12.5.2)

Unified Communications Manager IM&P Service

Pozostałe podatności:

CVE-2019-1868, CVE-2019-1872, CVE-2019-1870, CVE-2019-1880, CVE-2019-1881, CVE-2019-1882, CVE-2019-1842

Więcej informacji: https://tools.cisco.com/security/center/publicationListing.x