Oprogramowanie Cisco Unified Industrial Wireless – wersja 17.14 i wcześniejsze Oprogramowanie Cisco Unified Industrial Wireless – wersja 17.15
Numer CVE
CVE-2024-20418
Krytyczność
10/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Opis
Luka w internetowym interfejsie zarządzania oprogramowania Cisco Unified Industrial Wireless dla punktów dostępu Cisco Ultra-Reliable Wireless Backhaul (URWB) może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu przeprowadzenie ataków polegających na wstrzykiwaniu poleceń z uprawnieniami roota w podstawowym systemie operacyjnym. Ta luka wynika z nieprawidłowej walidacji danych wejściowych do internetowego interfejsu zarządzania. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądania HTTP do internetowego interfejsu zarządzania dotkniętego systemu. Udany atak może umożliwić atakującemu wykonanie dowolnych poleceń z uprawnieniami roota w podstawowym systemie operacyjnym dotkniętego urządzenia.
Cisco Nexus Dashboard Fabric Controller (NDFC) – wersje 12.1.2 i 12.1.3
Numer CVE
CVE-2024-20536
Krytyczność
8.8/10
CVSS
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis
Luka w punkcie końcowym interfejsu API REST i internetowym interfejsie zarządzania kontrolera Cisco Nexus Dashboard Fabric Controller (NDFC) może umożliwić uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami tylko do odczytu wykonywanie dowolnych poleceń SQL na zagrożonym urządzeniu. Ta luka wynika z niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądanie do określonego punktu końcowego interfejsu API REST lub internetowego interfejsu zarządzania. Udany atak może umożliwić atakującemu odczytanie, zmodyfikowanie lub usunięcie dowolnych danych w wewnętrznej bazie danych, co może wpłynąć na dostępność urządzenia.
Cisco Enterprise Chat and Email (ECE) – wersje 12.5 i starsze Cisco Enterprise Chat and Email (ECE) – wersja 12.6
Numer CVE
CVE-2024-20484
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
Ta luka wynika z niewystarczającej walidacji ruchu Media Routing Peripheral Interface Manager (MR PIM) odbieranego przez dotknięte nią urządzenie. Atakujący może wykorzystać tę lukę, wysyłając spreparowany ruch MR PIM do dotkniętego nią urządzenia. Udany atak może umożliwić atakującemu wywołanie awarii połączenia MR PIM między Cisco ECE i Cisco Unified Contact Center Enterprise (CCE), co doprowadzi do stanu DoS w EAAS, który uniemożliwiłby klientom rozpoczęcie czatu, oddzwaniania lub opóźnionych sesji oddzwaniania.
Oprogramowanie Cisco Unified Industrial Wireless – wersja 17.14 i wcześniejsze Oprogramowanie Cisco Unified Industrial Wireless – wersja 17.15
Numer CVE
CVE-2024-20418
Krytyczność
10/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Opis
Luka w internetowym interfejsie zarządzania oprogramowania Cisco Unified Industrial Wireless dla punktów dostępu Cisco Ultra-Reliable Wireless Backhaul (URWB) może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu przeprowadzenie ataków polegających na wstrzykiwaniu poleceń z uprawnieniami roota w podstawowym systemie operacyjnym. Ta luka wynika z nieprawidłowej walidacji danych wejściowych do internetowego interfejsu zarządzania. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądania HTTP do internetowego interfejsu zarządzania dotkniętego systemu. Udany atak może umożliwić atakującemu wykonanie dowolnych poleceń z uprawnieniami roota w podstawowym systemie operacyjnym dotkniętego urządzenia.
Cisco Nexus Dashboard Fabric Controller (NDFC) – wersje 12.1.2 i 12.1.3
Numer CVE
CVE-2024-20536
Krytyczność
8.8/10
CVSS
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis
Luka w punkcie końcowym interfejsu API REST i internetowym interfejsie zarządzania kontrolera Cisco Nexus Dashboard Fabric Controller (NDFC) może umożliwić uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami tylko do odczytu wykonywanie dowolnych poleceń SQL na zagrożonym urządzeniu. Ta luka wynika z niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika. Atakujący może wykorzystać tę lukę, wysyłając spreparowane żądanie do określonego punktu końcowego interfejsu API REST lub internetowego interfejsu zarządzania. Udany atak może umożliwić atakującemu odczytanie, zmodyfikowanie lub usunięcie dowolnych danych w wewnętrznej bazie danych, co może wpłynąć na dostępność urządzenia.
Cisco Enterprise Chat and Email (ECE) – wersje 12.5 i starsze Cisco Enterprise Chat and Email (ECE) – wersja 12.6
Numer CVE
CVE-2024-20484
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
Ta luka wynika z niewystarczającej walidacji ruchu Media Routing Peripheral Interface Manager (MR PIM) odbieranego przez dotknięte nią urządzenie. Atakujący może wykorzystać tę lukę, wysyłając spreparowany ruch MR PIM do dotkniętego nią urządzenia. Udany atak może umożliwić atakującemu wywołanie awarii połączenia MR PIM między Cisco ECE i Cisco Unified Contact Center Enterprise (CCE), co doprowadzi do stanu DoS w EAAS, który uniemożliwiłby klientom rozpoczęcie czatu, oddzwaniania lub opóźnionych sesji oddzwaniania.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny