Cisco Communications Manager Hatası – SQL enjeksiyon Saldırıları

   Ağustos 17, 2023  Posted in GBHackers


Cisco İletişim Yöneticisi Kusuru

Cisco Unified Communications Manager (Unified CM) ve Cisco Unified Communications Manager Session Management Edition’ın (Unified CM SME) web tabanlı yönetim arayüzünde bir SQL enjeksiyon güvenlik açığı keşfedildi.

Cisco Unified CM, sesli ve görüntülü aramaları yönetmek için kullanılırken Cisco Unified CM SME, oturum yönlendirme zekası için kullanılır.

Bu SQL enjeksiyon güvenlik açığı, kimliği doğrulanmış bir uzak saldırganın etkilenen herhangi bir sistemde SQL enjeksiyon saldırıları gerçekleştirmesine olanak tanır. Ancak Cisco, bu güvenlik açığını gidermek için yazılım güncellemeleri yayınladı.

CVE-2023-20211: SQL Enjeksiyon Güvenlik Açığı

Bu güvenlik açığı, kullanıcı tarafından sağlanan girdinin yanlış doğrulanması nedeniyle oluşur. Saldırgan, uygulamada salt okunur bir kullanıcı olarak kimlik doğrulaması yapabilir ve etkilenen bir sisteme hazırlanmış HTTP istekleri göndererek bu güvenlik açığından yararlanabilir.

Başarılı bir istismarın sonucu, sistemdeki verilerin okunması veya değiştirilmesi veya ayrıcalık yükseltme işleminin gerçekleştirilmesi ile sonuçlanır. Bu güvenlik açığı için CVSS puanı 8.1 (Yüksek).

Etkilenen Ürünler

Bu güvenlik açığından etkilenen ürünler arasında Cisco Unified CM ve Cisco Unified CM SME yer alır. Ayrıca Cisco, aşağıdaki ürünlerin de bu güvenlik açığından etkilenmediğinden bahsetmiştir.

  • Acil Müdahale
  • İncelik
  • Barındırılan İşbirliği Aracılığı Gerçekleştirme (HCM-F)
  • Paket İletişim Merkezi Kurumsal (Paket CCE)
  • Prime İşbirliği Dağıtımı
  • Birincil Lisans Yöneticisi (PLM)
  • sosyal madenci
  • Birleşik İletişim Yöneticisi IM ve Durum Hizmeti (Unified CM IM&P)
  • Birleşik İletişim Merkezi Etki Alanı Yöneticisi (Birleşik CCDM)
  • Birleşik İletişim Merkezi Ekspres (Birleşik CCX)
  • Birleşik İletişim Merkezi Yönetim Portalı (Birleşik CCMP)
  • Birleşik İstihbarat Merkezi
  • Birlik Bağlantısı
  • Sanallaştırılmış Ses Tarayıcı

Sürümde Düzeltildi

Cisco Unified CM ve Unified CM KOBİ Sürümü İlk Sabit Sürüm
11.5(1) Sabit bir sürüme geçiş yapın.
12,5(1) 12,5(1)SU8
14 Yama dosyasını uygula
ciscocm.V14SU3_CSCwe89928_sql-injection_C0194-1.cop.sha512.

Bu ürünlerin kullanıcılarının, tehdit aktörlerinin bu güvenlik açığından yararlanmalarını önlemek için en son sürüme yükseltmeleri önerilir.

Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.





Source link