Cisco huet d'Verëffentlechung vu Patches fir eng Schwachstelle vu kritescher Schwieregkeet an hirer BroadWorks Application Delivery Platform an BroadWorks Xtended Services Plattform ugekënnegt. Verfollegt als CVE-2023-20238, beaflosst d'Vulnerabilitéit d'BroadWorks Uruff- an Zesummenaarbecht Plattform an ass verbonne mat der Single Sign-on (SSO) Implementatioun. Remote, onauthentifizéiert Ugräifer kënnen dës Schwachstelle ausnotzen fir Umeldungsinformatiounen ze schmëlzen an Zougang zu betroffene Systemer ze kréien.

D'Vulnerabilitéit entsteet aus der Method déi benotzt gëtt fir SSO Tokens ze validéieren. Wann erfollegräich exploitéiert, kann en Ugräifer Maut Bedruch engagéieren oder Kommandoen um Privilegniveau vum geschmiedegt Kont ausféieren. Cisco klärt datt den Ugräifer eng valabel Benotzer ID brauch, déi mam betraffene BroadWorks System assoziéiert ass, fir den Attack auszeféieren. Trotz dëser Ufuerderung huet d'Vulnerabilitéit e CVSS Score vun 10.0.

Déi betraff BroadWorks Verëffentlechungen enthalen AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrieval, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel, an Xsi-VTR. D'Vulnerabilitéit gouf duerch d'Verëffentlechung vun der Cisco BroadWorks Application Delivery Platform a BroadWorks Xtended Services Plattform Versioun AP.platform.23.0.1075.ap385341 adresséiert, zesumme mat den onofhängege Verëffentlechungen 2023.06_1.333 an 2023.07_1.332.

Zousätzlech zu dëser kritescher Schwachstelle huet Cisco och Patches verëffentlecht fir eng Schwachstelle vu High-Severity Denial-of-Service (DoS) a senger Identity Services Engine (ISE). Verfollegt als CVE-2023-20243, dës Schwachstelle ass spezifesch fir bestëmmte RADIUS Comptabilitéitsufroen déi net richteg gehandhabt ginn. En Ugräifer kann dëse Feeler ausnotzen fir de RADIUS-Prozess nei ze starten, de Benotzer Zougang zum Netz oder Service ze refuséieren. Der Schwachstelle beaflosst nëmmen Cisco ISE Versiounen 3.1 an 3.2, an et gouf mat der Verëffentlechung vun Cisco ISE Versiounen geléist 3.1P7 an 3.2P3.

Cisco huet uginn datt et kee Beweis ass fir ze suggeréieren datt entweder vun dëse Schwachstelle bei béiswëllegen Attacke exploitéiert gouf. Allerdéngs sinn d'Benotzer staark ugeroden déi néideg Patches z'applizéieren fir d'Sécherheet vun hire Systemer ze garantéieren.

Fir méi Informatiounen, weg bei Cisco Produit Sécherheet Säit.

Quellen:

- Cisco beroden

- Cisco Produit Sécherheet Säit