Cisco vá lỗ hổng SQL injection nghiêm trọng trong phần mềm Unified CM 

Cisco đã công bố các bản vá cho lỗ hổng SQL injection mức độ nghiêm trọng cao trong Unified CM và Unified CM SME. Đây là các nền tảng quản lý phiên và cuộc gọi doanh nghiệp, đảm bảo khả năng tương tác của các ứng dụng như Webex, Jabber, v.v., đồng thời duy trì tính khả dụng và bảo mật. 

Lỗ hổng có mã CVE-2023-20010 (điểm CVSS là 8,1), tồn tại do đầu vào của người dùng trên giao diện web (quản lý platform) đã xác thực không đúng cách. Lỗi này cho phép kẻ tấn công đã xác thực từ xa khởi chạy một cuộc tấn công SQL injection vào một hệ thống.

“Kẻ tấn công có thể khai thác lỗ hổng này bằng cách xác thực ứng dụng với tư cách là người dùng có đặc quyền thấp và gửi các truy vấn SQL được tạo đến hệ thống có lỗ hổng. Việc khai thác thành công có thể cho phép kẻ tấn công đọc hoặc sửa đổi bất kỳ dữ liệu nào trên cơ sở dữ liệu cơ bản hoặc leo thang đặc quyền".

Lỗ hổng ảnh hưởng đến Cisco Unified CM và Unified CM SME phiên bản 11.5(1), 12.5(1) và 14 và đã được vá trong phiên bản 12.5(1)SU7. Một bản vá cũng sẽ được đưa vào phiên bản 14SU3, dự kiến ra mắt vào tháng 3 năm 2023.

Gã khổng lồ công nghệ cũng đã thông báo cho khách hàng về lỗ hổng trong phần mềm AsyncOS dành cho Công cụ bảo mật email (ESA). Lỗ hổng này được đánh giá có độ nghiêm trọng trung bình, cho phép vượt mặt (bypass) bộ lọc URL. Kẻ tấn công từ xa, không được xác thực, có thể khai thác bằng cách chèn các URL độc hại được tạo thủ công.

Tuần này, Cisco cũng đã công bố các bản vá cho 3 lỗi có mức trung bình trong Expressway Series và TelePresence Video Communication Server (VCS), ảnh hưởng đến API và giao diện quản lý dựa trên web của các sản phẩm này. Các lỗ hổng có thể bị kẻ tấn công từ xa, sau khi xác thực danh tính có quyền ghi (write) vào file hoặc truy cập dữ liệu nhạy cảm trên thiết bị. Tất cả các bản Expressway Series và TelePresence VCS phát hành trước ngày 14.0.7 đều bị ảnh hưởng.

Cisco cho biết họ không có bất kỳ lỗ hổng nào trong số này đang bị khai thác thực tế.