Уязвимость веб-интерфейса систем управления IP-телефонией Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME) связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные SQL-запросы
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- сторонними средствами защиты ограничить доступ недоверенных пользователей к веб-интерфейсу устройства;
- использование сторонних средств контроля доступа пользователей (VPN и др.) к веб-интерфейсу из общедоступных сетей (Интернет);
- использование технологий белых/черных списков для ограничения доступа недоверенных подключений к устройству из общедоступных сетей (Интернет);
- использование систем обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n
| Балл | 8.5 — высокая опасность |