Cisco, Expressway Serisi ve TelePresence Video İletişim Sunucusu (VCS) ürünlerindeki kritik bir hata için, ilk ifşa edilmesinden dokuz ay sonra, düzeltilmiş bir yazılım gönderdi.
İki ürünün API’lerindeki ve web tabanlı yönetim konsollarındaki hatalar geçen Temmuz ayında kısmen giderildi.
CVE-2022-20812, kimliği doğrulanmış bir uzak yöneticinin işletim sistemi dosyalarının üzerine root olarak yazmasına izin veren API hatasıdır.
CVE-2022-20813, kimliği doğrulanmamış uzak ortadaki adam saldırısının cihazlar arasındaki trafiği kesmesine ve ardından bir uç noktayı taklit etmek için hazırlanmış bir sertifika kullanmasına izin verdi.
Cisco’nun danışma belgesi, “Başarılı bir istismar, saldırganın yakalanan trafiği düz metin olarak görüntülemesine veya trafiğin içeriğini değiştirmesine izin verebilir” dedi.
Bu danışma belgesi, müşterilere yazılımın geçen Temmuz ayında yayınlanan 14.0.7 sürümünün soruna “kısmi bir düzeltme” sağladığını bildirmek için güncellendi.
Danışma belgesinde “Tam kapsam için müşteriler Sürüm 14.3 veya üstüne yükseltme yapmalıdır” ifadesi yer alırken, tam yamalı sürümün bu ayın sonlarında gönderileceğini de sözlerine ekledi.