ГлавнаяБаза уязвимостей БДУ → BDU:2023-00211
8.5высокая

BDU:2023-00211

Уязвимость веб-интерфейса систем управления IP-телефонией Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), связанная с ошибками при обработке входных данных, позволяющая нарушителю выполнять произвольные SQL-запросы
Опубликовано: 2023-01-20
Описание

Уязвимость веб-интерфейса систем управления IP-телефонией Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME) связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные SQL-запросы

Затрагиваемое ПО и версии
Cisco Unified Communications Manager (до 12.5(1)SU7)Cisco Unified Communications Manager (от 14 до 14SU3)Cisco Unified Communications Manager SME (до 12.5(1)SU7)Cisco Unified Communications Manager SME (от 14 до 14SU3)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- сторонними средствами защиты ограничить доступ недоверенных пользователей к веб-интерфейсу устройства;
- использование сторонних средств контроля доступа пользователей (VPN и др.) к веб-интерфейсу из общедоступных сетей (Интернет);
- использование технологий белых/черных списков для ограничения доступа недоверенных подключений к устройству из общедоступных сетей (Интернет);
- использование систем обнаружения и предотвращения вторжений.

Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n
Проверьте безопасность своего сайта и почты → Полная проверка домена