Cisco 多個產品發布新的安全更新

風險 等級: 高度威脅
摘   要:

Cisco 多個產品存在安全性弱點,建議請管理者儘速評估更新,以降低受駭風險!

影響 系統:
  • Cisco Webex Teams 3.0.12427.0 之前版本
  • Cisco IND 1.6.0 之前版本
解決 辦法: Cisco Webex Teams
  • 將 Cisco Webex Teams 更新至 3.0.12427.0 版本或更高版本。

  • Cisco IND

  • 將 Cisco IND 更新至 1.6.0 版本或更高版本。
細節 描述:

1.Windows平台的Cisco Webex Teams 3.0.12427.0之前版本中存在 SQL injection 弱點,該弱點源於程式沒有正確限制軟件日誌記錄功能。 遠端攻擊者可通過誘使用戶訪問網站並通過該網站發送惡意的輸入利用該弱點修改文件並在系統上以目標用戶權限在系統上執行任意命令。
2.Cisco IND 1.6.0之前版本中的\’\’plug-and-play\’\’服務元件存在信息洩露弱點,該弱點源於沒有進行正確的訪問限制。遠端攻擊者可通過發送 特製的HTTP請求利用該弱點訪問敏感信息。
參考 資訊:

US-CERT (2019/09/05)
Cisco-sa-20190904-webex-teams (2019/09/04)
Cisco-sa-20190904-ind (2019/09/04)
Cisco-sa-20190904-unified-ccx-ssrf (2019/09/04)
Cisco-sa-20190904-sma-info-dis (2019/09/04)
Cisco-sa-20190904-jcf-codex (2019/09/04)
Cisco-sa-20190904-ise-xss (2019/09/04)
Cisco-sa-20190904-finesse-ssrf (2019/09/04)