[TLP:CLEAR] Cisco opravuje vysoce závažnou zranitelnost v produktu Cisco Secure Client
Cisco verzí 5.1.8.105 opravuje vysoce závažnou zranitelnost ve svém produktu Cisco Secure Client pro Windows [1]. Společnost také upozorňuje na zranitelnost v produktu Cisco TelePresence Management Suite, který již dosáhl konce své životnosti [2]. Vzhledem k tomu, že pro tento software nebudou vydávány žádné další aktualizace, doporučuje zákazníkům, aby se seznámili s oficiálním oznámením o ukončení jeho podpory [3].
Autentizovanému lokálnímu útočníkovi je odesláním podvržené IPC zprávy konkrétnímu procesu Cisco Secure Client umožněno vykonat spuštění libovolného kódu s právy SYSTEM [1].
Zranitelnost se nachází v produktu Cisco Secure Client ve verzích <5.1.8.105.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2025-20206 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-347: Improper Verification of Cryptographic Signature at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2025.
Autentizovanému vzdálenému útočníkovi je v produktu Cisco TelePresence Management Suite umožněno vykonat XSS útok vložením škodlivých dat do konkrétního datového pole v rozhraní [2].
Zranitelnost se nachází v produktu Cisco TelePresence Management Suite ve verzích =15.13.6.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
Více informací:
- CVE-2025-20208 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 3. 2025.
Odkazy
- [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-secure-dll-injection-AOyzEqSg
- [2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-tms-xss-vuln-WbTcYwxG
- [3] https://www.cisco.com/c/en/us/products/collateral/conferencing/telepresence-management-suite-tms/telepresence-management-system-eol.html
Za CESNET-CERTS Michaela Jarošová dne 6. 3. 2025.
