Af Eskil Sørensen, 07/03/22
Cisco har udsendt opdateringer til håndtering af sårbarheder i Expressway-serien og Cisco TelePresence Video Communication Server (VCS). Sårbarheder, der kan udnyttes af en angriber til at opnår forhøjede rettigheder og afvikle skadelig kode.
Det skriver The Hacker News på baggrund af en meddelelse fra CISA.
De to fejl har id-numrene CVE-2022-20754 og CVE-2022-20755, begge med en CVSS-score på 9,0, og vedrører ‘arbitrary file write’ og ‘command injection’ fejl i API'et og webbaserede administrationsgrænseflader for de to produkter. Udnyttelse af begge fejl kan have alvorlige konsekvenser for berørte systemer.
Cisco har også rettet fejl i hhv. StarOS, Cisco Identity Services Engine RADIUS Service og Cisco Ultra Cloud Core.
Links:
https://thehackernews.com/2022/03/critical-patches-issued-for-cisco.html
https://securityaffairs.co/wordpress/128627/security/cisco-expressway-telepresence-vcs-flaws.html