| Produkt | Cisco Packaged Contact Center Enterprise (PCCE) – wiele wersji Cisco Unified Communications Manager (Unified CM) – wiele wersji Usługa komunikatorów i obecności Cisco Unified Communications Manager (Unified CM IM&P) – wiele wersji Cisco Unified Communications Manager Session Management Edition (Unified CM SME) – wiele wersji Cisco Unified Contact Center Enterprise (UCCE) – wiele wersji Cisco Unified Contact Center Express (UCCX) – wiele wersji Cisco Unity Connection – wiele wersji Cisco Virtualized Voice Browser – wiele wersji |
| Numer CVE | CVE-2024-20253 |
| Krytyczność | 9.9/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:H |
| Opis | Luka w zabezpieczeniach wielu produktów Cisco Unified Communications i rozwiązań Contact Center może pozwolić nieuwierzytelnionej osobie atakującej zdalnie na wykonanie dowolnego kodu na zagrożonym urządzeniu. Luka ta wynika z nieprawidłowego przetwarzania danych dostarczonych przez użytkownika, które są wczytywane do pamięci. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowaną wiadomość do portu nasłuchującego urządzenia, którego dotyczy luka. Udany exploit może pozwolić atakującemu na wykonanie dowolnych poleceń w podstawowym systemie operacyjnym z uprawnieniami użytkownika usług sieciowych. Mając dostęp do podstawowego systemu operacyjnego, osoba atakująca może również uzyskać dostęp do konta root na zaatakowanym urządzeniu. |
| Aktualizacja | TAK |
| Link | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm |
| Produkt | Inteligentne przełączniki Cisco 250 Series: przed 2.5.9.54 Przełączniki zarządzane Cisco 350 Series: przed wersją 2.5.9.54 Przełączniki zarządzalne Cisco 350X Series: przed wersją 2.5.9.54 Przełączniki zarządzalne Cisco 550X Series: przed wersją 2.5.9.54 Inteligentne przełączniki Business serii 250: przed 3.4.0.17 Przełączniki zarządzalne Business serii 350: przed wersją 3.4.0.17 |
| Numer CVE | CVE-2024-20263 |
| Krytyczność | 5.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N |
| Opis | Luka w zarządzaniu listą kontroli dostępu (ACL) w konfiguracji przełączników stosowych przełączników inteligentnych Cisco Business serii 250 i przełączników zarządzanych serii Business 350 może umożliwić nieuwierzytelnionemu zdalnemu atakującemu ominięcie ochrony oferowanej przez skonfigurowaną listę ACL na zagrożonym urządzeniu. Ta luka wynika z nieprawidłowego przetwarzania list ACL w konfiguracji stosowej, gdy przełącznik główny lub zapasowy doświadcza pełnego przeładowania stosu lub wyłączenia zasilania. Osoba atakująca może wykorzystać tę lukę, wysyłając spreparowany ruch przez zagrożone urządzenie. Udany exploit może umożliwić atakującemu ominięcie skonfigurowanych list ACL, powodując porzucenie lub przekierowanie ruchu w nieoczekiwany sposób. Osoba atakująca nie ma kontroli nad warunkami, w wyniku których urządzenie znajduje się w stanie podatnym na ataki. |
| Aktualizacja | TAK |
| Link | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-bus-acl-bypass-5zn9hNJk |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny