2023-0063: Cisco Telepresence Collaboration Endpoint (CE) Software, Cisco RoomOS: Zwei Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2023-01-12 10:50)

Neues Advisory

Version 2 (2023-03-08 08:00)

Cisco hat den Sicherheitshinweis aktualisiert und kündigt nun für den Cisco TelePresence Collaboration Endpoint (CE) Release-Zweig 9 die Version 9.15.17 für April 2023 an, um die Schwachstelle CVE-2023-20002 zu beheben.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren und einen Server-Site-Request-Forgery (SSRF)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Cisco informiert über die Schwachstellen und veröffentlicht Cisco TelePresence Collaboration Endpoint (CE) in Version 10.19.4, um CVE-2023-20002 zu beheben und die Version 10.19.3.0, um CVE-2023-20008 zu beheben. RoomOS ist Cloud-basiert und benötigt daher kein Update.

Schwachstellen:

CVE-2023-20002

Schwachstelle in Cisco RoomOS und Cisco Telepresence Collaboration Endpoint (CE) Software ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2023-20008

Schwachstelle in Cisco RoomOS und Cisco Telepresence Collaboration Endpoint (CE) Software ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.