Aggiornamenti recenti Febbraio 13th, 2026 2:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- False estensioni AI su Chrome: rubano API e sessioni
- Effetto Domino: nel 2026 i fornitori sono le vulnerabilità più critiche
- Lummastealer risorge dalle ceneri: ancora una volta lo stop è momentaneo
- ZeroDayRAT: La Nuova Minaccia per Android e iOS
- L’arma dell’autenticità: come il cybercrimine sta piegando i servizi SaaS
Cisco rilascia una patch di sicurezza per Unified Communications Manager
Cisco ha annunciato delle patch di sicurezza per Unified Communications Manager e Unified Communications Manager Session Management Edition: le due piattaforme sono risultate vulnerabili ad attacchi di SQL injection. La vulnerabilità, identificata come CVE-2023-20010, è considerata ad alto rischio.
Unified Communications Manager di Cisco vulnerabile a SQL injection
Secondo quanto riportato dall’azienda, la vulnerabilità è causata da un errore nella validazione dell’input utente. Un attaccante, spiega Cisco, può sfruttare la falla autenticandosi con privilegi di basso livello e inviare query SQL create ad hoc. In caso di successo dell’attacco, l’attaccante può accedere ai dati memorizzati nella piattaforma, modificarli e aumentare i propri privilegi.
A essere vulnerabili sono le due soluzioni VoIP di Cisco che si occupano di gestire le sessioni delle chiamate, la messaggistica e le conferenze sul web. La falla è presente sia nel prodotto base che nella release enterprise, nelle versioni 11.5(1), 12.5(1) e 14. Per le versioni 11 e 12 il fix è disponibile migrando alla 12.5(1)U7, mentre la patch per la 14 arriverà a marzo con la 14SU3.
L’azienda ha affermato che non è a conoscenza di casi in cui la vulnerabilità è già stata sfruttata dagli attaccanti. Gli amministratori dovrebbero provvedere immediatamente ad applicare le patch di sicurezza rilasciate da Cisco aggiornando i prodotti.
Non è la prima volta che Unified Communications Manager soffre a causa di una falla del genere: a inizio 2020 Cisco aveva pubblicato un avviso di sicurezza in cui spiegava che il prodotto era vulnerabile ad attacchi di SQL injection. In quel caso la vulnerabilità era dovuta a una validazione errata dei valori SQL: un attaccante avrebbe potuto modificare i record del database o raccogliere informazioni.
Il team di sicurezza di Cisco consiglia agli utenti di mantenere sempre aggiornati tutti i prodotti della suite, anche se al momento non ci sono vulnerabilità conosciute, e di controllare periodicamente i comunicati di sicurezza.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
TrendAI: il 2026 sarà l’anno... L’intelligenza artificiale automatizzerà... -
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
False estensioni AI su Chrome: rubano API e sessioni Un’inquietante campagna di cyberspionaggio ha colpito... -
Effetto Domino: nel 2026 i fornitori sono le vulnerabilità... Nell’ultimo High-Tech Crime Trends Report 2026 realizzato... -
Lummastealer risorge dalle ceneri: ancora una volta lo stop... L’ecosistema del cybercrime dimostra ancora una volta... -
ZeroDayRAT: La Nuova Minaccia per Android e iOS I ricercatori di iVerify, un’azienda specializzata in... -
L’arma dell’autenticità: come il cybercrimine... Il panorama delle minacce informatiche è in continuo...
Ransomware: la serie
No posts found.