Home » Sciences et technologies » Cisco corrige une vulnérabilité à haut risque affectant le logiciel Unity Connection
2024-01-11 12:30:45
11 janvier 2024RédactionGestion des vulnérabilités / correctifs
Cisco a publié des mises à jour logicielles pour corriger une faille de sécurité critique affectant Unity Connection et qui pourrait permettre à un adversaire d’exécuter des commandes arbitraires sur le système sous-jacent.
Suivi comme CVE-2024-20272 (score CVSS : 7,3), la vulnérabilité est un bug de téléchargement de fichiers arbitraire résidant dans l’interface de gestion Web et est le résultat d’un manque d’authentification dans une API spécifique et d’une validation inappropriée des données fournies par l’utilisateur.
“Un attaquant pourrait exploiter cette vulnérabilité en téléchargeant des fichiers arbitraires sur un système affecté”, a déclaré Cisco. dit dans un avis publié mercredi. “Un exploit réussi pourrait permettre à l’attaquant de stocker des fichiers malveillants sur le système, d’exécuter des commandes arbitraires sur le système d’exploitation et d’élever les privilèges au niveau root.”
La faille affecte les versions suivantes de Cisco Unity Connection. La version 15 n’est pas vulnérable.
12.5 et versions antérieures (corrigé dans la version 12.5.1.19017-4)
Le chercheur en sécurité Maxim Suslov a été reconnu pour avoir découvert et signalé la faille. Cisco ne fait aucune mention du bug exploité dans la nature, mais il est conseillé aux utilisateurs de mettre à jour vers une version corrigée pour atténuer les menaces potentielles.
Parallèlement au correctif pour CVE-2024-20272, Cisco a également fourni des mises à jour pour résoudre 11 vulnérabilités de gravité moyenne couvrant ses logiciels, notamment Identity Services Engine, le point d’accès sans fil WAP371, ThousandEyes Enterprise Agent et TelePresence Management Suite (TMS).
Cisco a toutefois indiqué qu’il n’avait pas l’intention de publier un correctif pour le bogue d’injection de commandes dans WAP371 (CVE-2024-20287score CVSS : 6,5), indiquant que l’appareil a atteint la fin de vie (EoL) en juin 2019. Il recommande plutôt aux clients de migrer vers le point d’accès Cisco Business 240AC.
Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.
Cisco corrige une vulnérabilité à haut risque affectant le logiciel Unity Connection
Home » Sciences et technologies » Cisco corrige une vulnérabilité à haut risque affectant le logiciel Unity Connection
2024-01-11 12:30:45
11 janvier 2024RédactionGestion des vulnérabilités / correctifs
Cisco a publié des mises à jour logicielles pour corriger une faille de sécurité critique affectant Unity Connection et qui pourrait permettre à un adversaire d’exécuter des commandes arbitraires sur le système sous-jacent.
Suivi comme CVE-2024-20272 (score CVSS : 7,3), la vulnérabilité est un bug de téléchargement de fichiers arbitraire résidant dans l’interface de gestion Web et est le résultat d’un manque d’authentification dans une API spécifique et d’une validation inappropriée des données fournies par l’utilisateur.
“Un attaquant pourrait exploiter cette vulnérabilité en téléchargeant des fichiers arbitraires sur un système affecté”, a déclaré Cisco. dit dans un avis publié mercredi. “Un exploit réussi pourrait permettre à l’attaquant de stocker des fichiers malveillants sur le système, d’exécuter des commandes arbitraires sur le système d’exploitation et d’élever les privilèges au niveau root.”
La faille affecte les versions suivantes de Cisco Unity Connection. La version 15 n’est pas vulnérable.
Le chercheur en sécurité Maxim Suslov a été reconnu pour avoir découvert et signalé la faille. Cisco ne fait aucune mention du bug exploité dans la nature, mais il est conseillé aux utilisateurs de mettre à jour vers une version corrigée pour atténuer les menaces potentielles.
Parallèlement au correctif pour CVE-2024-20272, Cisco a également fourni des mises à jour pour résoudre 11 vulnérabilités de gravité moyenne couvrant ses logiciels, notamment Identity Services Engine, le point d’accès sans fil WAP371, ThousandEyes Enterprise Agent et TelePresence Management Suite (TMS).
Cisco a toutefois indiqué qu’il n’avait pas l’intention de publier un correctif pour le bogue d’injection de commandes dans WAP371 (CVE-2024-20287score CVSS : 6,5), indiquant que l’appareil a atteint la fin de vie (EoL) en juin 2019. Il recommande plutôt aux clients de migrer vers le point d’accès Cisco Business 240AC.
#Cisco #corrige #une #vulnérabilité #haut #risque #affectant #logiciel #Unity #Connection
1704969640
Share this:
Related
Accusations révélées contre l’ancien conseiller de Trump et 4 avocats dans une affaire de faux délégués de l’Arizona
2024-04-27 02:38:02 PHOENIX (AP) — Les autorités ont publié vendredi des accusations de complot, de fraude et
Share this:
Les nouveaux frais de sélection de sièges d’Air Canada suspendus suite à des réactions négatives
Mais la compagnie aérienne prévoit toujours d’aller de l’avant avec les changements à l’avenir. Air Canada a
Share this:
Seravezza Blues Festival 2024, danser en… Incognito. Le programme
2024-04-24 12:28:00 Incognito, tête d’affiche du “Seravezza Blues Festival” en juillet Incognito sera la première tête d’affiche
Share this:
Frais de douane depuis la Chine – La communauté eBay
2024-04-27 19:48:00 @pjtxxx Les frais de douane ne font PAS partie de l’expédition. Je ne me souviens
Share this:
RECENT POSTS
7 conseils efficaces pour communiquer avec les gens et établir des contacts utiles
Ces stars qui ne seront pas à la Coupe du Monde
ADVERTISEMENT
Tags