ГлавнаяБаза уязвимостей БДУ → BDU:2023-04735
8.5высокая

BDU:2023-04735

Уязвимость веб-интерфейса управления систем обработки вызовов Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю получить доступ на чтение или изменение сведений в базе данных
Опубликовано: 2023-08-18
Описание

Уязвимость веб-интерфейса управления систем обработки вызовов Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME) связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение или изменение сведений в базе данных

Затрагиваемое ПО и версии
Cisco Unified Communications Manager (14)Cisco Unified Communications Manager SME (14)Cisco Unified Communications Manager (от 11.5(1) до 12.5(1)SU8)Cisco Unified Communications Manager SME (от 11.5(1) до 12.5(1)SU8)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности обращений к серверу базы данных;
- удаление/отключение неиспользуемых учетных записей пользователей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-injection-g6MbwH2

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-injection-g6MbwH2
Проверьте безопасность своего сайта и почты → Полная проверка домена