Flere kritiske fejl i Cisco-produkter

Cisco frigiver sikkerhedsopdateringer for at rette kritiske fejl.

Cisco har udgivet sikkerhedsopdateringer for at afhjælpe kritiske sikkerhedsfejl, som kan udnyttes til at afvikle vilkårlig kode på berørte systemer.

Det skriver The Hacker News på baggrund af en advisory fra Cisco.

Den mest alvorlige af sårbarhederne er en command injection-fejl i Cisco Industrial Network Director, som findes i web-UI-komponenten, Den opstår som et resultat af forkert inputvalidering ved upload af en Device Pack. Fejlen har id’et CVE-2023-20036 og en CVSS-score på: 9,9. Udnyttelse af sårbarheden kan give en angriber mulighed for at afvikle vilkårlige kommandoer som NT AUTHORITY\SYSTEM på det underliggende operativsystem på en berørt enhed.

I samme produkt har Cisco har også rettet en mellemalvorlig fejl, en ’file permission’-sårbarhed (CVE-2023-20039, CVSS-score: 5,5), som en autentificeret, lokal angriber kan misbruge til at se følsomme oplysninger. Patches er blevet gjort tilgængelige i version 1.11.3.

Cisco har også rettet en anden kritisk fejl i den eksterne authentication mechanism i Modeling Labs netværkssimuleringsplatform. Denne fejl har id’et CVE-2023-20154 og en CVSS-score på 9,1. Den kan tillade en uautoriseret fjernangriber at få adgang til webgrænsefladen med administrative rettigheder.

Links:

https://thehackernews.com/2023/04/cisco-and-vmware-release-security.html