2024-0328: Cisco Expressway Software, Cisco TelePresence VCS: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Request-Forgery-Angriffe

Historie:

Version 1 (2024-02-08 12:42)

Neues Advisory

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Cross-Site-Request-Forgery (CSRF)-Angriffe sowie einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung aller Schwachstellen kann Einfluss auf andere Komponenten haben.

Cisco informiert über die Schwachstellen und stellt die Cisco Expressway Series Releases 15.0.0 und 14.3.4 zur Behebung der Schwachstellen als Sicherheitsupdates zur Verfügung. Um einen vollständigen Schutz zu gewährleisten muss zusätzlich der 'xconfiguration Security CSRFProtection status : "Enabled"'-Befehl ausgeführt werden. Die Schwachstellen CVE-2024-20252 und CVE-2024-20254 werden von Cisco als 'kritisch' (critical) bewertet.

Des weiteren informiert der Hersteller, dass die Cisco TelePresence Video Communication Server Software ihren End-of-Life (EoL) Status erreicht hat und für die beschriebenen Schwachstellen sowie alle zukünftig auftretenden Schwachstellen keine Sicherheitsupdates veröffentlicht werden.

Schwachstellen:

CVE-2024-20252 CVE-2024-20254

Schwachstellen in Cisco Expressway Software und Cisco TelePresence Video Communication Server Software ermöglichen Cross-Site-Request-Forgery-Angriffe

CVE-2024-20255

Schwachstelle in Cisco Expressway Software und Cisco TelePresence Video Communication Server Software ermöglicht u. a. Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.