Уязвимость в API: Косяки в шлюзах Cisco Unified Comms!

118

Компания Cisco раскрыла три уязвимости API в своих серии шлюзов единой связи Cisco Expressway, которые подвергают уязвимые устройства атакам злоумышленников, выполняющих “произвольные действия”.

В заявлении компании Cisco указано, что уязвимость CSRF (межсайтовая подделка запроса) затрагивает устройства управления Cisco Expressway Control и Cisco Expressway Edge.

Все три уязвимости, описанные в заявлении Cisco, CVE-2024-20252, CVE-2024-20254 и CVE-2024-20255, являются уязвимостями CSRF в веб-интерфейсе устройств.

Все три уязвимости могут быть использованы через убеждение пользователя API перейти по созданной ссылке.

Успешная атака позволяет злоумышленнику “выполнять произвольные действия” с привилегиями затронутого пользователя, даже с административными правами.

CVE-2024-20252 и CVE-2024-20254 (оба имеют оценку CVSS 9.6) позволяют злоумышленнику изменять конфигурацию системы и создавать новые привилегированные учетные записи.

Уязвимость с более низким рейтингом CVE-2024-20255 (оценка CVSS 8,2) также позволяет злоумышленнику выполнять некоторые системные команды, но только подвергает жертву атаке отказа в обслуживании.

Уязвимости затрагивают Cisco Expressway Series до версии 14.0 (требуется обновление до более поздней исправленной версии), 14.0 (исправлено в 14.3.4) и 15.0 (исправлено в 15.0.0).

Баги также затрагивают устаревший видео-коммуникационный сервер Cisco TelePresence, который не получит исправлений.
Оригинальная новость на сайте