Firma Cisco opublikowała nowe aktualizacje do Cisco Industrial Network Director (IND) oraz Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS oraz Cisco Expressway Series).
Podatności o poziomie „wysoki”:
- CVE-2019-1861 – umożliwia uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnego kodu. Luka wynika z nieprawidłowego sprawdzania poprawności plików przesłanych do aplikacji. Atakujący może wykorzystać tę lukę, uwierzytelniając system podlegający usterce, używając uprawnień administratora i przesyłając dowolny plik.
Podatne produkty:
Cisco Industrial Network Director wersje wcześniejsze niż 1.6.0.
- CVE-2019-1845 – umożliwia nieuwierzytelnionemu, zdalnemu atakującemu spowodowanie przerwy w działaniu usługi dla użytkowników próbujących się uwierzytelnić, co powoduje warunek odmowy usługi (DoS). Luka wynika z niewystarczającej kontroli określonych operacji pamięci. Atakujący może wykorzystać tę usterkę, wysyłając do systemu nieprawidłowe żądanie uwierzytelnienia XMPP (Extensible Messaging and Presence Protocol).
Podatne produkty:
Expressway Series skonfigurowany dla dostępu mobilnego i zdalnego z usługą IM&P Service (wersje X8.1 – X12.5.2)
TelePresence VCS skonfigurowany dla dostępu mobilnego i zdalnego z usługą IM&P Service (wersje X8.1 – X12.5.2)
Unified Communications Manager IM&P Service
Pozostałe podatności:
CVE-2019-1868, CVE-2019-1872, CVE-2019-1870, CVE-2019-1880, CVE-2019-1881, CVE-2019-1882, CVE-2019-1842
Więcej informacji: https://tools.cisco.com/security/center/publicationListing.x