2023-3112: Cisco-Produkte, Apache Struts: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-12-13 12:08)

Neues Advisory

Version 2 (2023-12-15 17:08)

Cisco hat den Sicherheitshinweis aktualisiert und führt von jenen Cisco-Produkten, die Apache Struts verwenden, nun explizit Identity Services Engine (ISE) vor Release 3.1 als verwundbar auf. Der Sicherheitshinweis soll weiterhin regelmäßig aktualisiert werden, da noch eine Reihe von Cisco-Produkten auf ihre Verwundbarkeit untersucht werden.

Version 3 (2023-12-26 15:58)

Der Hersteller hat den Sicherheitshinweis hinsichtlich der verfügbaren Sicherheitsupdates finalisiert und stellt für Identity Services Engine (ISE) 2.7 Patch 10, 3.0 Patch 7 und 3.0 Patch 8 Hotfixes über die jeweiligen Support-Unternehmen zur Verfügung.

Betroffene Software

Netzwerk
Server
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann eine Schwachstelle durch das Hochladen einer bösartig präparierten Datei aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Cisco informiert über die als kritisch (critical) eingestufte Schwachstelle und veröffentlicht eine Liste von Cisco-Produkten die Apache Struts verwenden. Zur Zeit stehen noch keine Sicherheitsupdates für diese Produkte zur Verfügung und die Untersuchungen betreffend weiterer Produkte dauern noch an. Es sind soweit keine Cloud-basierten Cisco-Produkte betroffen. Der Sicherheitshinweis soll entsprechend in Kürze aktualisiert werden.

Schwachstellen:

CVE-2023-50164

Schwachstelle in Apache Struts ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.