[TLP:CLEAR] CIsco UCM a ISE opravuje 5 zraniteľností

Cisco opravuje 5 zraniteľností v produktoch Cisco Unified Communications Manager (UCM) a Cisco Identity Services Engine (ISE). Zraniteľnosti sú opravené vo verzii 15SU1 pre produkt UCM a vo verzii 3.3P3 pre produkt ISE [1][2][3][4][5]. Zraniteľnosť CVE-2024-20417 bude opravená v blízkej dobe, a to záplatou (viac informácií na [4]).

Cisco Unified Communications Manager - DoS (CVE-2024-20375) CVSS 8.6 (High)

Neautentizovanému vzdialenému útočníkovi je v UCM umožnené vykonať DoS útok zasielaním špeciálne vytvorených SIP správ [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 8. 2024.

Cisco Unified Communications Manager - XSS (CVE-2024-20488) CVSS 6.1 (Medium)

Neautentizovanému vzdialenému útočníkovi je v UCM s pomocou sociálneho inžinierstva umožnené vykonať XSS útok [2].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 8. 2024.

Cisco Identity Services Engine - information leak (CVE-2024-20466) CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi s administrátorskými právami na čítanie je v ISE umožnené neoprávnene zobrazovať citlivé informácie [3].

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 8. 2024.

Cisco Identity Services Engine - SQL injection (CVE-2024-20417) CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi je v ISE umožnené vykonať SQL injection útok zasielaním špeciálne vytvorených požiadaviek [4].

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 8. 2024.

Cisco Identity Services Engine - CSRF (CVE-2024-20486) CVSS 6.5 (Medium)

Neautentizovanému vzdialenému útočníkovi je v ISE s pomocou sociálneho inžinierstva umožnené vykonať CSRF útok a vykonávať tak ľubovolné akcie s právami obete [5].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 8. 2024.


Publikoval Martin Krajči dňa 30. 8. 2024.

CESNET CERTS Logo