Cisco pada hari Rabu mengumumkan patch untuk kerentanan injeksi SQL tingkat tinggi di Unified Communications Manager (CM) dan Unified Communications Manager Session Management Edition (CM SME). Dirancang sebagai platform manajemen panggilan dan sesi perusahaan, Cisco Unified CM dan Unified CM SME memastikan interoperabilitas aplikasi seperti Webex, Jabber, dan lainnya, sekaligus menjaga ketersediaan dan keamanan. Dilacak sebagai CVE-2023-20010 (skor CVSS 8,1), kerentanan muncul karena input pengguna tidak divalidasi dengan benar di antarmuka manajemen platform berbasis web. Bug tersebut memungkinkan penyerang jarak jauh yang diautentikasi untuk meluncurkan serangan injeksi SQL pada sistem yang rentan. Penyerang dapat mengeksploitasi kerentanan ini dengan mengautentikasi ke aplikasi sebagai pengguna dengan hak istimewa rendah dan mengirimkan kueri SQL buatan ke sistem yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk membaca atau memodifikasi data apa pun pada basis data yang mendasarinya atau meningkatkan hak istimewa mereka. Kerentanan keamanan berdampak pada Cisco Unified CM dan Unified CM SME versi 11.5(1), 12.5(1), dan 14, dan telah diatasi di aplikasi versi 12.5(1)SU7. Sebuah perbaikan juga akan disertakan dalam versi 14SU3, yang dijadwalkan untuk Maret 2023. Minggu ini, Cisco juga mengumumkan patch untuk tiga bug dengan tingkat keparahan sedang di Expressway Series dan TelePresence Video Communication Server (VCS).
sumber
gambar
sumber
gambar
