Cisco Unified Customer Voice Portal (CVP) sérülékenységek

CH azonosító

CH-9158

Angol cím

Cisco Unified Customer Voice Portal (CVP) Multiple Vulnerabilities

Felfedezés dátuma

2013.05.08.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Unified Customer Voice Portal (CVP)

Érintett verziók

Cisco Unified Customer Voice Portal (CVP) 9.x

Összefoglaló

A Cisco Unified Customer Voice Portal (CVP) több sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és megkerülhetnek egyes biztonsági szabályokat.

Leírás

  1. A CallServer komponens SIP INVITE csomagok feldolgozása során keletkező hibáját kihasználva az alkalmazás nem képes további hívásokat fogadni, ha egy speciálisan összeállított SIP INVITE csomagot küldenek az eszköznek.
  2. A Tomcat Web Management komponens konfigurálásában lévő nem részletezett hibát kihasználva adminisztrátori jogosultságot lehet szerezni.
  3. A Tomcat Web Management komponens konfigurálásában lévő nem részletezett hibát kihasználva nem hitelesített felhasználói webes alkalmazásokat lehet futtatni.
  4. A log viewer egy hibáját kihasználva, amely bizonyos paraméterek kezelése során keletkezik, speciálisan elkészített kérések segítségével tetszőleges rendszerfájlhoz lehet hozzáférni.
  5. A Resource Manager komponens egy hibáját kihasználva, amely bizonyos paraméterek kezelése során keletkezik, felül lehet írni a rendszerfájlokat könyvtár bejárásos támadás segítségével.
  6. A Resource Manager egy hibáját kihasználva, amely az XML entity expansion-ök hiányos ellenőrzése miatt keletkezik, speciálisan elkészített kérések segítségével tetszőleges rendszerfájlhoz lehet hozzáférni.

A sérülékenységeket a 9.0.1 ES 11 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »