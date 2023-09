Cisco hat de frijlitting fan patches oankundige foar in kwetsberens fan krityske earnst yn har BroadWorks Application Delivery Platform en BroadWorks Xtended Services Platform. Tracked as CVE-2023-20238, beynfloedet de kwetsberens it BroadWorks-oprop- en gearwurkingsplatfoarm en is relatearre oan de ymplemintaasje fan single sign-on (SSO). Oanfallers op ôfstân, net authentisearre oanfallers kinne dizze kwetsberens benutte om referinsjes te smeden en tagong te krijen ta troffen systemen.

De kwetsberens ûntstiet út 'e metoade dy't brûkt wurdt om SSO-tokens te falidearjen. As suksesfol eksploitearre, kin in oanfaller tolfraude begean of kommando's útfiere op it privileezjenivo fan it ferfalske akkount. Cisco makket dúdlik dat de oanfaller in jildich brûkers-ID nedich hat ferbûn mei it troffen BroadWorks-systeem om de oanfal út te fieren. Nettsjinsteande dizze eask hat de kwetsberens in CVSS-score fan 10.0.

De troffen BroadWorks-releases omfetsje AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrieval, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel, en Xsi-VTR. De kwetsberens is oanpakt troch de frijlitting fan Cisco BroadWorks Application Delivery Platform en BroadWorks Xtended Services Platform ferzje AP.platform.23.0.1075.ap385341, tegearre mei de ûnôfhinklike releases 2023.06_1.333 en 2023.07_1.332.

Neist dizze krityske kwetsberens hat Cisco ek patches frijlitten foar in kwetsberens mei hege earnst fan denial-of-service (DoS) yn har Identity Services Engine (ISE). Tracked as CVE-2023-20243, dizze kwetsberens is spesifyk foar bepaalde RADIUS-boekhâldingsoanfragen dy't net goed wurde behannele. In oanfaller kin dizze flater benutte om it RADIUS-proses opnij te begjinnen, wêrtroch brûker tagong ta it netwurk of tsjinst wegeret. De kwetsberens beynfloedet allinnich Cisco ISE ferzjes 3.1 en 3.2, en it is oplost mei de frijlitting fan Cisco ISE ferzjes 3.1P7 en 3.2P3.

Cisco hat oanjûn dat d'r gjin bewiis is om te suggerearjen dat ien fan dizze kwetsberens is eksploitearre yn kweade oanfallen. Brûkers wurde lykwols sterk advisearre om de nedige patches oan te passen om de feiligens fan har systemen te garandearjen.

Foar mear ynformaasje kinne jo besykje Cisco's produktfeiligensside.

boarnen:

- Cisco advys

- Cisco produkt feiligens side