2024-0208: Cisco Unified Communications Produkte: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2024-01-25 13:24)

Neues Advisory

Version 2 (2024-02-01 09:38)

Der Hersteller hat den Sicherheitshinweis aktualisiert und um Links zu den COP-Dateien ergänzt.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Hardware
Netzwerk
Cisco

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen und infolgedessen 'root'-Privilegien zu erlangen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben.

Cisco informiert über die Schwachstelle in Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) sowie Cisco Unity Connection und veröffentlicht die Versionen 12.5(1)SU8 und 14SU3 sowie alternativ verschiedene Patches als Sicherheitsupdates. Für Unified Contact Center Express und Unified Contact Center Express Enterprise steht der Patch 'ucos.v1_java_deserial-CSCwd64245.cop.sgn' zur Behebung bereit.

Schwachstellen:

CVE-2024-20253

Schwachstelle in Cisco Unified Communications Produkten ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.