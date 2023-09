By

Yo te dekouvri yon vilnerabilite kritik nan Platfòm livrezon aplikasyon Cisco BroadWorks ak Platfòm Sèvis Cisco BroadWorks Xtended, sa ki reprezante yon risk pou atakè aleka yo fòje kalifikasyon ak kontourne otantifikasyon. Defo sa a, idantifye kòm CVE-2023-20238, gen yon nòt CVSS maksimòm 10.0, ki endike severite kritik li.

Cisco BroadWorks se yon platfòm sèvis kominikasyon nwaj yo itilize pa biznis ak konsomatè yo, pandan y ap eleman vilnerab yo, sètadi Platfòm Aplikasyon Aplikasyon an ak Platfòm Sèvis BroadWorks Xtended, sèvi kòm zouti jesyon ak entegrasyon aplikasyon an. Eksplwate feblès sa a bay aktè menas yo kapasite pou egzekite kòmandman san otorizasyon, jwenn aksè nan done sansib, manipile anviwònman itilizatè, e menm angaje yo nan fwod peyaj.

Vilnerabilite a espesyalman afekte tribin Cisco yo mansyone pi wo a lè sèten aplikasyon yo aktif, tankou AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrieval, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTEl, ak Xsi-MMTEl. Sepandan, pa gen okenn lòt eleman BroadWorks ki afekte pa CVE-2023-20238.

Kòz rasin vilnerabilite sa a se nan metòd validation pou yon sèl sign-on (SSO) siy platfòm yo itilize. Lè w itilize kalifikasyon fòje, yon atakè ka eksplwate feblès sa a lè w otantifye aplikasyon an. Rezilta atak la depann de privilèj ki asosye ak kont manipile a, ak senaryo ki pi grav ki enplike aksè nan nivo administratè.

Li enpòtan pou sonje ke yon ID itilizatè valab ki konekte ak sistèm Cisco BroadWorks ki vize a obligatwa pou eksplwatasyon siksè. Pandan ke sa a ka limite pisin nan atakan potansyèl yo, li pa bese gravite risk la.

Cisco pa te bay okenn solisyon pou frajilite sa a. Kidonk, itilizatè yo konseye anpil pou yo mete ajou AP.platform.23.0.1075.ap385341 si yo itilize branch 23.0 la, oswa nan vèsyon 2023.06_1.333 oswa 2023.07_1.332 pou edisyon endepandan (RI) lage. Itilizatè ki sou branch 22.0 ki pi gran an pa prevwa pou yo resevwa yon aktyalizasyon sekirite, sa ki mande yon migrasyon nan yon lage fiks.

Kounye a, pa gen okenn rapò sou eksplwatasyon aktif CVE-2023-20238 nan bwa. Men, administratè sistèm yo ta dwe aplike san pèdi tan mizajou ki disponib pou pwoteje platfòm Cisco BroadWorks yo.

