[TLP:CLEAR] Cisco opravuje 4 zraniteľnosti v rôznych produktoch

Cisco opravuje 4 zraniteľnosti v rôznych produktoch [1][2][3][4]. Jednotlivé produkty a ich opravené verzie: Cisco Unified CM (SME) - 15SU3 (Jul 2025) [1] (alebo aplikácia patchu ciscocm.CSCwp27755_D0247-1.cop.sha512 dostupného na [5]) Cisco BroadWorks Application Delivery Platform - RI.2025.05 [2] Cisco Spaces Connector - 3-Jun 2025 [3] Cisco ECE - 12.6(1)_ES11 [4]

Cisco Unified CM, Unified CM SME - hard-coded credentials (CVE-2025-20309) CVSS 10.0 (Critical)

Neautentizovanému vzdialenému útočníkovi je v Cisco Unified CM (SME) umožnené získať prístup k root účtu použitím hard-coded prihlasovacích údajov [1].

Zraniteľnosť sa nachádza v produktoch:

  • Cisco Unified CM vo verziách >=15.0.1.13010-1 AND <15.0.1.13017-1
  • Cisco Unified CM SME vo verziách >=15.0.1.13010-1 AND <15.0.1.13017-1

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:X/RL:X/RC:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MPR:X/MUI:X/MS:X/MC:X/MI:X/MA:X

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2025.

Cisco BroadWorks Application Delivery Platform - XSS (CVE-2025-20307) CVSS 4.8 (Medium)

Autentizovanému vzdialenému útočníkovi s právami administrátora je v Cisco BroadWorks Application Delivery Platform umožnené vykonať XSS útok voči používateľovi webového rozhrania [2].

Zraniteľnosť sa nachádza v produkte Cisco BroadWorks Application Delivery Platform vo verziách <RI.2025.05.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N/E:X/RL:X/RC:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MPR:X/MUI:X/MS:X/MC:X/MI:X/MA:X

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2025.

Cisco Spaces Connector - OS command injection (CVE-2025-20308) CVSS 6.0 (Medium)

Autentizovanému lokálnemu útočníkovi s oprávnením "spacesadmin" je v Cisco Spaces Connector umožnené vykonávať príkazy v operačnom systéme zariadenia s právami root [3].

Zraniteľnosť sa nachádza v produkte Cisco Spaces Connector vo verziách <3-Jun 2025.

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N/E:X/RL:X/RC:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MPR:X/MUI:X/MS:X/MC:X/MI:X/MA:X

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2025.

Cisco ECE - XSS (CVE-2025-20310) CVSS 6.1 (Medium)

Neautentizovanému vzdialenému útočníkovi je v Cisco ECE pomocou sociálneho inžinierstva umožnené vykonať stored XSS útok. Zraniteľnosť je zneužiteľná iba v prípade, ak je v bezpečnostnej politike pre prichádzajúce maily deaktivovaná politika pre obsah s bohatým formátovaním (rich text). Návod pre overenie tohto nastavenia je možné nájsť na [4].

Zraniteľnosť sa nachádza v produkte Cisco Enterprise Chat and Email (ECE) vo verziách (>=15 AND <16) OR (>=12 AND <12.6(1)_ES11).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:X/RL:X/RC:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MPR:X/MUI:X/MS:X/MC:X/MI:X/MA:X

Viac informácií:

Zraniteľnosť bola verejne oznámená 2. 7. 2025.


Za CESNET-CERTS Martin Krajči dňa 4. 7. 2025.

CESNET CERTS Logo