Unified CM SQL Injection Kusuru Saldırganların SQL Sorguları Yürütmesine İzin Veriyor


Birleşik CM SQL Enjeksiyon Hatası

Cisco, yüksek öneme sahip SQL enjeksiyon güvenlik açığını gidermek için Unified Communications Manager (CM) ve Unified Communications Manager Session Management Edition için düzeltmeler yayınladı.

Cisco, “Bir saldırgan, uygulamada düşük ayrıcalıklı bir kullanıcı olarak kimlik doğrulaması yaparak ve etkilenen bir sisteme hazırlanmış SQL sorguları göndererek bu güvenlik açığından yararlanabilir” diyor.

“Başarılı bir istismar, saldırganın temel alınan veritabanındaki herhangi bir veriyi okumasına veya değiştirmesine veya ayrıcalıklarını yükseltmesine izin verebilir”.

Kurumsal çağrı ve oturum yönetimi sistemleri olarak tasarlanan Cisco Unified CM ve Unified CM SME, kullanılabilirliği ve güvenliği korurken Webex, Jabber ve daha fazlası gibi uygulamaların uyumluluğunu garanti eder.

DÖRT

Güvenlik açığı şu şekilde izlenir: CVE-2023-20010 (CVSS puanı 8.1). Platformların web tabanlı yönetim arayüzündeki kullanıcı girişinin uygun şekilde doğrulanmaması nedeniyle ortaya çıkar.

Kusur, uzak, kimliği doğrulanmış bir saldırganın bir SQL enjeksiyon saldırısına karşı savunmasız olan bir sisteme saldırmasını sağlar.

Savunmasız Ürünler

  • Birleşik CM
  • Birleşik CM KOBİ

Savunmasız Olmadığı Doğrulanan Ürünler

  • Acil Müdahale
  • İncelik
  • Barındırılan İşbirliği Aracılığı Gerçekleştirme (HCM-F)
  • Paket İletişim Merkezi Kurumsal (Paket CCE)
  • Prime İşbirliği Dağıtımı
  • Birincil Lisans Yöneticisi (PLM)
  • sosyal madenci
  • Birleşik İletişim Yöneticisi IM ve Durum Hizmeti (Unified CM IM&P)
  • Birleşik İletişim Merkezi Etki Alanı Yöneticisi (Birleşik CCDM)
  • Birleşik İletişim Merkezi Ekspres (Birleşik CCX)
  • Birleşik İletişim Merkezi Yönetim Portalı (Birleşik CCMP)
  • Birleşik İstihbarat Merkezi
  • Birlik Bağlantısı

Cisco, bu güvenlik açığı için herhangi bir geçici çözüm bulunmadığından bahseder.

Yazılım Yamaları

Güvenlik kusuru, Cisco Unified CM ve Unified CM SME sürüm 11.5(1), 12.5(1) ve 14’ü etkiler ve uygulamaların 12.5(1)SU7 sürümünde giderilmiştir. Mart 2023’te çıkması beklenen 14SU3 sürümüne bir yama da eklenecek.

Bu nedenle, müşterilerin ilgili bir sabit yazılım sürümüne güncelleme yapmaları önerilir.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link