思科修复企业协作解决方案中的严重漏洞
编译:代码卫士
本周三,思科宣布修复 Expressway 序列和 TelePresence 视频通信服务器 (VCS) 企业协作和视频通信解决方案中的一个严重漏洞CVE-2023-20105,CVSS 评分为9.6。
该漏洞可导致具有“只读”权限的管理员将权限提升至“读写”。该漏洞存在的原因是密码更改请求并未得到正确处理,从而导致攻击者认证为“只读”管理员身份,发送构造请求,更改系统上任意用户账户的密码,包括“读写”管理员的密码,之后假冒身份。
思科 Expressway系列和 TelePresence VCS 部署如对只读管理员授予 CLI 访问权限,同时易受 CVE-2023-20192 攻击影响。该漏洞是高危漏洞,也可导致权限提升。思科指出,CLI 访问权限默认为只读用户禁用。
思科在安全公告中指出,“该漏洞是因为对用户角色权限的实现不正确造成的。攻击者可通过以只读 CLI 管理员的身份认证应用,利用该漏洞,并发布正常情况下为具有读写能力的管理员保留的命令。”攻击者可利用该漏洞执行正常情况下无法访问的命令,包括修改系统配置参数等。
Expressway系列和 TelePresence VCS 版本14.2.1 中包含 CVE-2023-20105的补丁,而版本14.3.0修复了CVE-2023-20192。
本周,思科还修复了位于 Unified Communications Manager IM & Presence 服务和 Firepower 2100 系列设备中的多个高位拒绝服务漏洞,以及位于 AnyConnect Secure Mobility Client 和 Secure Client Windows 版软件中的一个高危代码执行缺陷。
另外,思科还修复了两个中危漏洞,即位于 Unified Communications Manager and Unified Communications Manager Session Management Edition 中的一个拒绝服务漏洞和位于 Secure Workload 中的一个提权漏洞。
另外,思科还提到,Small Business 200、300和500系列的交换机已在2019年或更早之前达到生命周期,因此将不会修复其中的一个中危XSS漏洞。
思科表示并未发现这些漏洞遭恶意在野利用的迹象。更多漏洞信息可查看思科的产品安全页面。
https://www.securityweek.com/cisco-patches-critical-vulnerability-in-enterprise-collaboration-solutions/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。