Af Eskil Sørensen, 20/01/23
Cisco har onsdag udsendt patches til en alvorlig SQL-injektionssårbarhed i Unified Communications Manager (CM) og Unified Communications Manager Session Management Edition (CM SME).
Det skriver Security Week.
Sårbarheden har id’et CVE-2023-20010 og en score på 8.1. Fejlen gør det muligt for en ekstern, godkendt angriber at starte et SQL-injektionsangreb på et sårbart system. Det kan ske, fordi brugerinput er uretmæssigt valideret i platformens webbaserede administrationsgrænseflade.
Fejlen påvirker Cisco Unified CM og Unified CM SME version 11.5(1), 12.5(1) og 14 og blev rettet i version 12.5(1)SU7. Security Week skriver i sin omtale af sagen, at der også vil blive inkluderet en patch i version 14SU3, som ventes i marts 2023.
Unified CM og Unified CM SME anvendes til administration af opkald og sessioner og sikrer, at applikationer som Webex, Jabber mv. kan udveksle data.
Cisco har i samme forbindelse også informeret om, at der findes en URL-filtreringssårbarhed af i AsyncOS-software til Email Security Appliance (ESA). Denne har en’medium’ score på CVSS-skalaen. Den kan udnyttes af en ekstern, uautoriseret angriber ved hjælp af udformede URL'er. Endelig har Cisco orienteret om patches til tre fejl med samme score i Expressway Series og TelePresence Video Communication Server (VCS). Alle Expressway Series og TelePresence VCS-udgivelser før 14.0.7 er berørt.
Cisco oplyser, at man ikke er bekendt med udnyttelse af nogen af disse sårbarheder. Yderligere information om fejlene kan findes på Ciscos produktsikkerhedsside.
Links:
https://www.securityweek.com/cisco-patches-high-severity-sql-injection-vulnerability-unified-cm