Cisco patcher sårbarhed i Unified CM

SQL-sårbarhed i Unified Communications Manager.

Cisco har onsdag udsendt patches til en alvorlig SQL-injektionssårbarhed i Unified Communications Manager (CM) og Unified Communications Manager Session Management Edition (CM SME).

Det skriver Security Week.

Sårbarheden har id’et CVE-2023-20010 og en score på 8.1. Fejlen gør det muligt for en ekstern, godkendt angriber at starte et SQL-injektionsangreb på et sårbart system. Det kan ske, fordi brugerinput er uretmæssigt valideret i platformens webbaserede administrationsgrænseflade.

Fejlen påvirker Cisco Unified CM og Unified CM SME version 11.5(1), 12.5(1) og 14 og blev rettet i version 12.5(1)SU7. Security Week skriver i sin omtale af sagen, at der også vil blive inkluderet en patch i version 14SU3, som ventes i marts 2023.

Unified CM og Unified CM SME anvendes til administration af opkald og sessioner og sikrer, at applikationer som Webex, Jabber mv. kan udveksle data.

Cisco har i samme forbindelse også informeret om, at der findes en URL-filtreringssårbarhed af i AsyncOS-software til Email Security Appliance (ESA). Denne har en’medium’ score på CVSS-skalaen. Den kan udnyttes af en ekstern, uautoriseret angriber ved hjælp af udformede URL'er. Endelig har Cisco orienteret om patches til tre fejl med samme score i Expressway Series og TelePresence Video Communication Server (VCS). Alle Expressway Series og TelePresence VCS-udgivelser før 14.0.7 er berørt.

Cisco oplyser, at man ikke er bekendt med udnyttelse af nogen af disse sårbarheder. Yderligere information om fejlene kan findes på Ciscos produktsikkerhedsside.

Links:

https://www.securityweek.com/cisco-patches-high-severity-sql-injection-vulnerability-unified-cm