Компания Cisco раскрыла три уязвимости API в своих серии шлюзов единой связи Cisco Expressway, которые подвергают уязвимые устройства атакам злоумышленников, выполняющих “произвольные действия”.
В заявлении компании Cisco указано, что уязвимость CSRF (межсайтовая подделка запроса) затрагивает устройства управления Cisco Expressway Control и Cisco Expressway Edge.
Все три уязвимости, описанные в заявлении Cisco, CVE-2024-20252, CVE-2024-20254 и CVE-2024-20255, являются уязвимостями CSRF в веб-интерфейсе устройств.
Все три уязвимости могут быть использованы через убеждение пользователя API перейти по созданной ссылке.
Успешная атака позволяет злоумышленнику “выполнять произвольные действия” с привилегиями затронутого пользователя, даже с административными правами.
CVE-2024-20252 и CVE-2024-20254 (оба имеют оценку CVSS 9.6) позволяют злоумышленнику изменять конфигурацию системы и создавать новые привилегированные учетные записи.
Уязвимость с более низким рейтингом CVE-2024-20255 (оценка CVSS 8,2) также позволяет злоумышленнику выполнять некоторые системные команды, но только подвергает жертву атаке отказа в обслуживании.
Уязвимости затрагивают Cisco Expressway Series до версии 14.0 (требуется обновление до более поздней исправленной версии), 14.0 (исправлено в 14.3.4) и 15.0 (исправлено в 15.0.0).
Баги также затрагивают устаревший видео-коммуникационный сервер Cisco TelePresence, который не получит исправлений.
Оригинальная новость на сайте