Cisco, yedi yeni güvenlik önerisi arasında Express ve TelePresence ürünlerinde iki kritik dereceli güvenlik açığını yamaladı.
Bir danışma belgesine göre, hem Expressway hem de TelePresence VCS, bir ayrıcalık yükseltme hatasına tabidir.
Hatalardan biri olan CVE-2023-20105, bir uzak yöneticinin ayrıcalıklarını salt okunurdan okuma-yazmaya yükseltmesine olanak tanır.
Hata, sistemin parola değiştirme isteklerini nasıl ele aldığındadır.
Cisco, “Başarılı bir istismar, saldırganın yönetici okuma-yazma kullanıcısı da dahil olmak üzere sistemdeki herhangi bir kullanıcının parolalarını değiştirmesine ve ardından bu kullanıcının kimliğine bürünmesine izin verebilir” dedi.
Diğer hata olan CVE-2023-20192, iki sistemin ayrıcalık yönetimindedir.
İlk güvenlik açığına benzer şekilde, bir saldırgan salt okunur komut satırı arabirimi ayrıcalıklarını salt okunurdan okuma-yazmaya yükseltebilir.
Cisco, “Başarılı bir istismar, saldırganın, sistem yapılandırma parametrelerini değiştirmek de dahil olmak üzere, amaçlanan erişim seviyesinin ötesinde komutlar yürütmesine izin verebilir” dedi.
CVE-2023-20192 için salt okunur ayrıcalıklara sahip yöneticilerin erişimini devre dışı bırakan bir geçici çözüm vardır.
Bugünün tavsiye listesi aynı zamanda şirketin Adaptive Security Appliance Yazılımı ve Firepower Tehdit Savunma Yazılımındaki yüksek dereceli üç güvenlik açığını da içeriyor; Birleşik İletişim Yöneticisi IM ve İletişim Durumu Hizmeti; ve Windows için AnyConnect istemcisi ve Windows için Güvenli İstemci.
Küçük İşletme 200, 300 ve 500; Güvenli İş Yükü; ve UCM ürünlerinde bugün yamalanan orta dereceli güvenlik açıkları vardı.