Cisco je izdao zakrpe za rješavanje kritičnog sigurnosnog propusta koji utječe na proizvode Unified Communications i Contact Center Solutions koji bi mogli dopustiti neautentificiranom, udaljenom napadaču da izvrši proizvoljan kod na pogođenom uređaju. Praćen kao CVE-2024-20253 (CVSS rezultat: 9,9), problem proizlazi iz nepravilne obrade korisničkih podataka koje bi akter prijetnje mogao zloupotrijebiti za slanje posebno izrađene poruke portu za slušanje osjetljivog uređaja. "Uspješno iskorištavanje moglo bi napadaču omogućiti izvršavanje proizvoljnih naredbi na temeljnom operativnom sustavu s privilegijama korisnika web usluga", rekao je Cisco u savjetu. "S pristupom temeljnom operativnom sustavu, napadač bi također mogao uspostaviti root pristup na pogođenom uređaju."
Synacktiv istraživač sigurnosti Julien Egloff zaslužan je za otkrivanje i prijavu CVE-2024-20253. Greška je zahvaćena sljedećim proizvodima: Unified Communications Manager (verzije 11.5, 12.5(1) i 14); Unified Communications Manager IM & Presence Service (verzije 11.5(1), 12.5(1) i 14); Unified Communications Manager Session Management Edition (verzije 11.5, 12.5(1) i 14); Unified Contact Center Express (verzije 12.0 i starije i 12.5(1)); Unity Connection (verzije 11.5(1), 12.5(1) i 14) i Virtualizirani glasovni preglednik (verzije 12.0 i ranije, 12.5(1) i 12.5(2).
Iako nema rješenja koja bi riješila nedostatak, proizvođač mrežne opreme poziva korisnike da postave popise kontrole pristupa kako bi ograničili pristup tamo gdje primjena ažuriranja nije odmah moguća. "Uspostavite popise za kontrolu pristupa (ACL-ove) na posredničkim uređajima koji odvajaju klaster Cisco Unified Communications ili Cisco Contact Center Solutions od korisnika i ostatka mreže kako bi se omogućio pristup samo portovima raspoređenih usluga", rekla je tvrtka.
Objava stiže tjednima nakon što je Cisco isporučio popravke za kritičnu sigurnosnu grešku koja utječe na Unity Connection (CVE-2024-20272, CVSS rezultat: 7,3) koja bi mogla dopustiti protivniku da izvrši proizvoljne naredbe na osnovnom sustavu. U zahvaćenim proizvodima i verzijama ne postoje zaobilazna rješenja za rješavanje ranjivosti, ali dostupna su ažuriranja softvera za rješavanje sigurnosnog problema.
U povezanom razvoju, Microsoft je nedavno objavio sigurnosna ažuriranja za rješavanje 31 CVE-a, uključujući aktivno iskorištavanu ranjivost u MSHTML-u. Tvrtka je rekla da nedostaci potencijalno mogu dovesti do daljinskog izvršavanja koda, otkrivanja informacija, lažiranja i zaobilaženja sigurnosnih značajki. Sigurnosne zakrpe pokrivaju niz proizvoda i tehnologija, uključujući Windows, Office, Edge, Visual Studio, .NET Framework, Dynamics i još mnogo toga.
Smatrate li ovaj članak zanimljivim? Pratite nas na [Twitteru](https://twitter.com/thehackersnews) i [LinkedInu](https://www.linkedin.com/company/thehackernews/) da biste čitali još ekskluzivnog sadržaja koji objavljujemo.
Croatian 
English 
Albanian 
Serbian 