Cisco, CommPilot Uygulama Yazılımında bulunan orta etkili güvenlik açığı için kullanıcı arayüzünde siteler arası komut dosyası çalıştırmaya izin veren bir düzeltme yayınladı.
Cisco BroadWorks CommPilot Uygulaması, kimliği doğrulanmış kullanıcıların platforma yapılandırma dosyalarını yüklemesine olanak tanır.
Savunmasız yükleme sunucu uygulamasında dosya doğrulama eksikliği ve bozuk erişim kontrolü, kimliği doğrulanmış herhangi bir kullanıcının, sunucuda rastgele kod çalıştırmak için kötüye kullanılabilecek bir dosya yüklemesine olanak tanır.
Cisco’nun BroadWorks Uygulama Dağıtım Platformu, BroadWorks Uygulama Sunucusu (AS) ve BroadWorks Xtending Hizmetler Platformu (XSP) bu güvenlik açığından etkilenmektedir.
Ayrıntılı olarak güvenlik açığı:
Cisco BroadWorks CommPilot Uygulama Yazılımında Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı’na yönelik en son güncelleme, Cisco tarafından 30 Ağustos’ta yayımlandı.
Web tabanlı yönetim arayüzü, kullanıcı tarafından sağlanan girişi düzgün şekilde doğrulamaz; bu da, saldırganın, kullanıcıyı hazırlanmış bir bağlantıyı tıklatmaya ikna ederek bu güvenlik açığından yararlanmasına olanak tanır.
Başarılı bir istismar, saldırganın etkilenen arayüz bağlamında rastgele komut dosyası kodu yürütmesine veya hassas, tarayıcı tabanlı bilgilere erişmesine olanak tanıyabilir.
Bu güvenlik açığını gideren yazılım güncellemeleri yayımladılar, ancak bu sorunu çözen herhangi bir geçici çözüm yok.
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), yalnızca bu danışma belgesinde belgelenen etkilenen ve sabit sürüm bilgilerini doğrular.
Cihazları yükseltmeden önce Cisco, müşterilerinin bellek ile mevcut donanım ve yazılım yapılandırmalarının yeni sürüm tarafından düzgün bir şekilde desteklenmeye devam edeceğinden emin olmalarını tavsiye ediyor.
Sabit Sürüm:
| CommPilot-25, CommPilot-24 ve CommPilot-23 Sürümüne Sahip Cisco BroadWorks Uygulama Dağıtım Platformu | İlk Sabit Sürüm |
| Bağımsız Sürüm (RI) | RI 2023.06 |
| Cisco BroadWorks Uygulama Sunucusu Yazılım Sürümü | İlk Sabit Sürüm |
| 23.0’dan önce | Sabit bir sürüme geçiş yapın. |
| 23.0 | AP.as.23.0.1075.ap385295.Linux-x86_64.zip |
| 24.0 | AP.as.24.0.944.ap385295.Linux-x86_64.zip |
| Bağımsız Sürüm (RI) | RI 2023.06 |
| Cisco BroadWorks Xtending Hizmetler Platformu Yazılım Sürümü | İlk Sabit Sürüm |
| 23.0’dan önce | Sabit bir sürüme geçiş yapın. |
| 23.0 | AP.xsp.23.0.1075.ap385295.Linux-x86_64.zip |
| Bağımsız Sürüm (RI) | RI 2023.08 |
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.