Firma Cisco ogłosiła poprawki usuwające poważną lukę związaną z fałszowaniem danych uwierzytelniających na niektórych platformach BroadWorks.
Sprzedawca sieciowy Wspomniany CVE-2023-20238 wpływa Wdrożono jednokrotne logowanie używane przez platformę BroadWorks Xtending Services i BroadWorks Application Delivery Platform.
Błąd „może pozwolić nieuwierzytelnionemu zdalnemu atakującemu na sfałszowanie danych uwierzytelniających wymaganych do uzyskania dostępu do zagrożonego systemu” – czytamy w ostrzeżeniu.
Osoba atakująca, która używa prawidłowego identyfikatora użytkownika do uwierzytelnienia przy użyciu sfałszowanych danych uwierzytelniających, może dopuścić się oszustwa lub „wykonać polecenia na poziomie uprawnień sfałszowanego konta” – aż do poziomu administratora – czytamy w poradniku.
Na tym poziomie „osoba atakująca będzie miała możliwość przeglądania poufnych informacji, modyfikowania ustawień klienta lub modyfikowania ustawień innych użytkowników”.
Włączenie dowolnej z następujących aplikacji ma wpływ na obie platformy BroadWorks: AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrieval, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events lub Xsi-MMTel lub Xsi-VTR. – powiedział Cisco.
Użytkownicy BroadWorks Application Delivery i Xtened Services w wersji 22 lub starszej muszą przeprowadzić migrację do wersji stabilnej; Łatka jest dostępna dla użytkowników w oddziałach wersji 23.
W Odrębne doradztwoFirma Cisco poinformowała również o bardzo istotnej luce typu „odmowa usługi” w silniku usług tożsamości (ISE), CVE-2023-20243.
Możliwe jest, że moduł obsługi wiadomości RADIUS ISE, znajdujący się w wielu urządzeniach dostępu do sieci, ulegnie awarii w związku ze spreparowanym pakietem.
W ostatniej sesji Cisco poprawiono cztery inne, mniej poważne błędy.
„Chcę być miłośnikiem telewizji. Certyfikowany entuzjasta popkultury. Stypendysta Twittera. Student amator.”
More Stories
RIPPL oferuje druk na żądanie z szybkością już od 480
Dwa z naszych najlepszych powerbanków Anker wróciły do sprzedaży w wyjątkowo niskich cenach
Apple twierdzi, że rychła premiera iPada będzie „wydarzeniem Apple innego rodzaju”