Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Gen 20, 2023 Marina Londei News, Vulnerabilità 0
Cisco ha annunciato delle patch di sicurezza per Unified Communications Manager e Unified Communications Manager Session Management Edition: le due piattaforme sono risultate vulnerabili ad attacchi di SQL injection. La vulnerabilità, identificata come CVE-2023-20010, è considerata ad alto rischio.
Secondo quanto riportato dall’azienda, la vulnerabilità è causata da un errore nella validazione dell’input utente. Un attaccante, spiega Cisco, può sfruttare la falla autenticandosi con privilegi di basso livello e inviare query SQL create ad hoc. In caso di successo dell’attacco, l’attaccante può accedere ai dati memorizzati nella piattaforma, modificarli e aumentare i propri privilegi.
A essere vulnerabili sono le due soluzioni VoIP di Cisco che si occupano di gestire le sessioni delle chiamate, la messaggistica e le conferenze sul web. La falla è presente sia nel prodotto base che nella release enterprise, nelle versioni 11.5(1), 12.5(1) e 14. Per le versioni 11 e 12 il fix è disponibile migrando alla 12.5(1)U7, mentre la patch per la 14 arriverà a marzo con la 14SU3.
L’azienda ha affermato che non è a conoscenza di casi in cui la vulnerabilità è già stata sfruttata dagli attaccanti. Gli amministratori dovrebbero provvedere immediatamente ad applicare le patch di sicurezza rilasciate da Cisco aggiornando i prodotti.
Non è la prima volta che Unified Communications Manager soffre a causa di una falla del genere: a inizio 2020 Cisco aveva pubblicato un avviso di sicurezza in cui spiegava che il prodotto era vulnerabile ad attacchi di SQL injection. In quel caso la vulnerabilità era dovuta a una validazione errata dei valori SQL: un attaccante avrebbe potuto modificare i record del database o raccogliere informazioni.
Il team di sicurezza di Cisco consiglia agli utenti di mantenere sempre aggiornati tutti i prodotti della suite, anche se al momento non ci sono vulnerabilità conosciute, e di controllare periodicamente i comunicati di sicurezza.
Lug 25, 2024 0
Lug 25, 2024 0
Lug 18, 2024 0
Lug 17, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 24, 2024 0
Lug 23, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...